Pesquisadores de segurança detectaram uma ameaça crítica envolvendo três módulos escritos na linguagem Go, aparentemente legítimos, mas com código malicioso fortemente ofuscado. Esses módulos foram projetados para identificar sistemas operacionais Linux e, ao encontrá-los, baixar um script de destruição que torna os dispositivos inutilizáveis.
Módulos Go maliciosos causam danos irreversíveis em sistemas Linux
Os módulos identificados são:
- github[.]com/truthfulpharm/prototransform
- github[.]com/blankloggia/go-mcp
- github[.]com/steelpoor/tlsproxy
Carga útil destrutiva: disco apagado por completo
Após a verificação do sistema, o código malicioso se conecta a um servidor remoto utilizando o utilitário wget para baixar um shell script de segundo estágio. Este script executa a substituição completa do disco primário (/dev/sda) por zeros, um processo que elimina qualquer chance de recuperação de dados, mesmo com ferramentas forenses especializadas.
Kush Pandya, pesquisador da Socket, destacou que a ofuscação do código serve para esconder a verdadeira natureza da ameaça, enganando desenvolvedores desavisados.
“Este ataque não apenas interrompe sistemas, mas garante que nenhuma recuperação seja possível, devido à destruição direta dos dados”, explica Pandya.
Ameaça se estende além do Go: ataques em npm e PyPI
Este incidente ocorre em meio a um aumento nos ataques à cadeia de suprimentos em plataformas de código aberto. Recentemente, pacotes maliciosos foram detectados nos repositórios npm e PyPI, voltados para o roubo de ativos de criptomoedas e espionagem de dados sensíveis.
Pacotes npm identificados incluem:
- cripto-criptografar-ts;
- react-native-scrollpageviewtest;
- bankingbundleserv;
- oauth2-paypal;
- relacionamento com o usuário-paypal, entre outros.
Esses pacotes visam especificamente frases-semente e chaves privadas de carteiras de criptomoedas. De forma semelhante, o repositório PyPI hospedou pacotes como web3x e herewalletbot, que já somaram mais de 6.800 downloads desde 2024.
Comunicação encoberta via Gmail e WebSocket
Outro grupo de pacotes PyPI foi projetado para exfiltrar informações sensíveis usando servidores SMTP e conexões WebSocket. Os pacotes – entre eles coffin2022 e coffin-codes-net – utilizam credenciais codificadas de contas do Gmail para comunicar ataques bem-sucedidos, dificultando a detecção por proxies corporativos e soluções antivírus.
O pacote cfc-bsb, em particular, mesmo sem empregar SMTP, mantém a capacidade de comunicação remota através de WebSockets, sugerindo uma evolução nas táticas de ataque furtivo.
Como se proteger: práticas recomendadas
Para mitigar riscos associados a ataques à cadeia de suprimentos, especialistas recomendam:
- Validar o histórico do publicador de pacotes e repositórios associados no GitHub;
- Auditar frequentemente todas as dependências utilizadas;
- Monitorar conexões externas incomuns, especialmente via SMTP;
- Restringir o acesso a chaves privadas com políticas rigorosas de segurança.
“Não confie em um pacote apenas por sua longevidade ou popularidade”, alerta Olivia Brown, também da Socket. “Muitos ataques se disfarçam em códigos que parecem inofensivos à primeira vista.”
A crescente sofisticação desses ataques exige atenção redobrada de desenvolvedores e administradores de sistemas, já que os danos podem ser permanentes — tanto no sentido técnico quanto operacional.