Tichý zabiják serverů: Malware v Go modulech smaže disk během vteřin
Bezpečnostní experti ze společnosti Socket nedávno objevili tři škodlivé Go moduly zveřejněné na GitHubu:
github[.]com/truthfulpharm/prototransform
github[.]com/blankloggia/go-mcp
github[.]com/steelpoor/tlsproxy
Na první pohled působí tyto moduly jako legitimní a užitečné nástroje. Napodobují totiž známé a oblíbené projekty jako Prototransform (pro konverzi Protobuf dat), Model Context Protocol (pro šifrování a hashování v AI aplikacích) a TLS Proxy (pro šifrování TCP a HTTP komunikace).
Ve skutečnosti však obsahují destruktivní kód, který – jakmile se spustí v linuxovém prostředí – bez varování přepíše celý disk nulami.
Totální zničení: nevratné vymazání systému
Funkčnost škodlivého kódu je jednoduchá, ale devastující. Jakmile se spustí, ověří si, zda běží na Linuxu, a pokud ano, přepisuje veškerá data na disku nulami. Tím nenávratně smaže:
- souborový systém,
- operační systém,
- veškerá uživatelská data.
Systém je pak nefunkční a nelze jej obnovit. Podle Socketu je disk-wiping skript silně obfuskovaný a aktivuje se okamžitě, takže není čas reagovat.
„Skript zcela ničí strukturu souborového systému, operační systém a všechna uživatelská data, čímž činí systém nebootovatelným a neobnovitelným,“ vysvětlila bezpečnostní firma Socket.
Zdroj: Shutterstock
Využití slabin ekosystému Go
Podle serveru BleepingComputer je za útokem zneužití specifického problému Go ekosystému. Ten totiž nemá centralizovaný systém pro kontrolu jmen balíčků, což umožňuje tzv. typosquatting útoky. Útočníci publikují balíčky se jmény podobnými originálním, čímž klamou vývojáře, kteří je pak nechtěně nainstalují.
Na GitHubu byly moduly již odstraněny, jakmile Socket nahlásil jejich existenci. Bohužel není známo, jak dlouho byly veřejně dostupné ani kolik vývojářů je mohlo stáhnout.
Jak se bránit? Opatrnost a důkladná kontrola
Proti tomuto typu útoku neexistuje jednoduchá ochrana. Nejlepší prevencí je maximální obezřetnost při práci s open source balíčky:
- vždy si ověřit identitu autora,
- zkontrolovat počet stažení a hodnocení,
- sledovat historii projektu a komunitní reputaci.
Také je vhodné používat nástroje pro bezpečnostní skenování závislostí a omezit používání méně známých knihoven v produkčním prostředí.
Tento případ opět ukazuje, že open source není automaticky synonymem pro bezpečnost. I v komunitních repozitářích se mohou objevit vysoce nebezpečné hrozby. Vývojáři by měli být neustále ve střehu a věnovat dostatečnou pozornost i zdánlivě rutinním úkonům jako je import modulu do projektu.