CDR.cz - Vybráno z IT

Tichý zabiják serverů: Malware v Go modulech smaže disk během vteřin

Čtvrtek, 8 Květen 2025 - 05:00 | Francesco | Operační systémy, Novinky, Bezpečnost

Zdroj: Shutterstock

V open source světě se objevil nový a extrémně nebezpečný malware. Skrytý v Go modulech na GitHubu, okamžitě po spuštění kompletně zničí data na linuxových systémech. Podle expertů jde o sofistikovaný útok, který může mít fatální důsledky pro vývojáře i produkční servery.

Bezpečnostní experti ze společnosti Socket nedávno objevili tři škodlivé Go moduly zveřejněné na GitHubu:

  • github[.]com/truthfulpharm/prototransform
  • github[.]com/blankloggia/go-mcp
  • github[.]com/steelpoor/tlsproxy

Na první pohled působí tyto moduly jako legitimní a užitečné nástroje. Napodobují totiž známé a oblíbené projekty jako Prototransform (pro konverzi Protobuf dat), Model Context Protocol (pro šifrování a hashování v AI aplikacích) a TLS Proxy (pro šifrování TCP a HTTP komunikace).

Ve skutečnosti však obsahují destruktivní kód, který – jakmile se spustí v linuxovém prostředí – bez varování přepíše celý disk nulami.

Totální zničení: nevratné vymazání systému

Funkčnost škodlivého kódu je jednoduchá, ale devastující. Jakmile se spustí, ověří si, zda běží na Linuxu, a pokud ano, přepisuje veškerá data na disku nulami. Tím nenávratně smaže:

  • souborový systém,
  • operační systém,
  • veškerá uživatelská data.

Systém je pak nefunkční a nelze jej obnovit. Podle Socketu je disk-wiping skript silně obfuskovaný a aktivuje se okamžitě, takže není čas reagovat.

„Skript zcela ničí strukturu souborového systému, operační systém a všechna uživatelská data, čímž činí systém nebootovatelným a neobnovitelným,“ vysvětlila bezpečnostní firma Socket.

Zdroj: Shutterstock

Využití slabin ekosystému Go

Podle serveru BleepingComputer je za útokem zneužití specifického problému Go ekosystému. Ten totiž nemá centralizovaný systém pro kontrolu jmen balíčků, což umožňuje tzv. typosquatting útoky. Útočníci publikují balíčky se jmény podobnými originálním, čímž klamou vývojáře, kteří je pak nechtěně nainstalují.

Na GitHubu byly moduly již odstraněny, jakmile Socket nahlásil jejich existenci. Bohužel není známo, jak dlouho byly veřejně dostupné ani kolik vývojářů je mohlo stáhnout.

Jak se bránit? Opatrnost a důkladná kontrola

Proti tomuto typu útoku neexistuje jednoduchá ochrana. Nejlepší prevencí je maximální obezřetnost při práci s open source balíčky:

  • vždy si ověřit identitu autora,
  • zkontrolovat počet stažení a hodnocení,
  • sledovat historii projektu a komunitní reputaci.

Také je vhodné používat nástroje pro bezpečnostní skenování závislostí a omezit používání méně známých knihoven v produkčním prostředí.

Tento případ opět ukazuje, že open source není automaticky synonymem pro bezpečnost. I v komunitních repozitářích se mohou objevit vysoce nebezpečné hrozby. Vývojáři by měli být neustále ve střehu a věnovat dostatečnou pozornost i zdánlivě rutinním úkonům jako je import modulu do projektu.

Tagy: 
Linux, operační systém, GitHub
Zdroje: 

TechRadar.com

nahlásit chybu

Lukáš "Francesco" Čihák

více článků, blogů a informací o autorovi