Negli ultimi tempi il mondo della sicurezza informatica è stato scosso dalla scoperta di tre moduli Go malevoli che rappresentano una seria minaccia per i sistemi Linux. Questi pacchetti, apparentemente legittimi, sono stati identificati come github.com/truthfulpharm/prototransform, github.com/blankloggia/go-mcp e github.com/steelpoor/tlsproxy. All’interno del loro codice era nascosto un livello di offuscamento che permetteva di scaricare ed eseguire un payload remoto progettato per compromettere in modo irreversibile le macchine su cui veniva eseguito.

Funzionamento dei moduli malevoli

Il funzionamento di questi moduli malevoli si basa su un controllo del sistema operativo: se viene rilevato Linux, scaricano tramite wget uno script dannoso. Questo script ha la funzione di sovrascrivere completamente il disco primario (/dev/sda) con zeri, rendendo il sistema inutilizzabile e impedendo qualsiasi forma di recupero dati, anche da parte di strumenti avanzati di data recovery o forensics.

Minacce nella supply chain e altri pacchetti pericolosi

Questo tipo di attacco supply chain evidenzia quanto sia pericoloso fidarsi ciecamente di pacchetti apparentemente affidabili nelle filiere di sviluppo software. La minaccia non si limita solo ai moduli Go. Recentemente sono stati scoperti anche diversi pacchetti npm e PyPI contenenti codice per il furto di seed phrase di wallet di criptovalute e di chiavi private. Alcuni di questi pacchetti sono stati scaricati migliaia di volte prima di essere rimossi dai rispettivi repository.

Esfiltrazione dati tramite Gmail e WebSocket

Un ulteriore vettore di attacco evidenziato riguarda l’uso di server Gmail e WebSocket per l’esfiltrazione di dati e il controllo remoto dei sistemi infetti. Alcuni pacchetti PyPI, come coffin2022, coffin-codes-net e cfc-bsb, impiegavano credenziali Gmail codificate per inviare notifiche agli attaccanti e stabilire una comunicazione bidirezionale, rendendo l’attacco più difficile da individuare poiché sfruttava servizi di posta elettronica considerati affidabili e raramente bloccati da firewall o sistemi di sicurezza aziendali.

Come difendersi

Per difendersi da queste minacce supply chain, è fondamentale verificare l’autenticità dei pacchetti, controllare la storia del publisher e i repository GitHub associati, eseguire audit regolari delle dipendenze e impostare controlli di accesso rigorosi sulle chiavi private. È inoltre importante monitorare il traffico di rete, con particolare attenzione alle connessioni SMTP e a comportamenti anomali che potrebbero indicare esfiltrazione di dati tramite servizi leciti come Gmail.