Selon un article publié par Bleepingcomputer, une attaque de la chaîne d’approvisionnement a été détectée ciblant des serveurs Linux avec un malware destructeur caché dans des modules Golang publiés sur GitHub.
L’attaque, découverte le mois dernier, repose sur trois modules Go malveillants contenant du code fortement obfusqué pour récupérer et exécuter des charges utiles à distance. Le payload destructeur, un script Bash nommé done.sh, exécute une commande ‘dd’ pour effacer les données du disque.
Conçue spécifiquement pour les environnements basés sur Linux, l’attaque vérifie l’exécution dans un environnement Linux avant de procéder. L’analyse de la société de sécurité de la chaîne d’approvisionnement Socket révèle que le script écrase chaque octet de données avec des zéros, entraînant une perte de données irréversible et une défaillance du système.
Les chercheurs ont identifié trois modules Go sur GitHub impliqués dans cette attaque : github.com/truthfulpharm/prototransform, github.com/blankloggia/go-mcp, et github.com/steelpoor/tlsproxy, qui ont depuis été retirés de la plateforme. Cet article constitue une analyse technique de l’incident.
🔗 Source originale : https://www.bleepingcomputer.com/news/security/linux-wiper-malware-hidden-in-malicious-go-modules-on-github/