اكتشاف 7 حزم ضارة في Go تستهدف أنظمة Linux وmacOS

اكتشاف 7 حزم ضارة في Go تستهدف أنظمة Linux وmacOS
اكتشاف 7 حزم ضارة في Go تستهدف أنظمة Linux وmacOS
شارك هذا الخبر

حذر باحثو الأمن السيبراني من حملة ضارة تستهدف نظام Go باستخدام حزم مزيفة (Typosquatted Modules) مصممة لنشر برمجيات ضارة على أنظمة Linux وmacOS.

ووفقًا لتقرير جديد من الباحث كيريل بويتشينكو من Socket، فقد نشر المهاجم سبع حزم تنتحل هوية مكتبات Go شائعة الاستخدام، بما في ذلك حزمة (github[.]com/shallowmulti/hypert) التي يبدو أنها تستهدف مطوري القطاع المالي.

وأشار التقرير إلى أن “هذه الحزم تشترك في أسماء ملفات ضارة متكررة وتقنيات تشويش متسقة، مما يشير إلى وجود جهة تهديد منظمة قادرة على التكيف بسرعة”.

قائمة الحزم الضارة

بينما لا تزال هذه الحزم متاحة في مستودع الحزم الرسمي، فإن مستودعاتها على GitHub لم تعد متاحة، باستثناء مستودع “github[.]com/ornatedoctrin/layout”.

الحزم المتأثرة:

  • shallowmulti/hypert (github.com/shallowmulti/hypert)
  • shadowybulk/hypert (github.com/shadowybulk/hypert)
  • belatedplanet/hypert (github.com/belatedplanet/hypert)
  • thankfulmai/hypert (github.com/thankfulmai/hypert)
  • vainreboot/layout (github.com/vainreboot/layout)
  • ornatedoctrin/layout (github.com/ornatedoctrin/layout)
  • utilizedsun/layout (github.com/utilizedsun/layout)

طريقة عمل البرمجيات الضارة

كشفت تحليلات Socket أن هذه الحزم المزيفة تحتوي على كود خبيث يسمح بتنفيذ أوامر عن بُعد عبر تشغيل أمر شل مشفر لاسترداد وتشغيل سكريبت من خادم بعيد (“alturastreet[.]icu”).

ولزيادة صعوبة اكتشافه، لا يتم جلب السكريبت الخبيث إلا بعد مرور ساعة على الأقل من تثبيت الحزمة.

الهدف النهائي: تثبيت وتشغيل ملف تنفيذي يمكنه سرقة البيانات أو بيانات تسجيل الدخول من الأجهزة المستهدفة.

الهجمات المتكررة على نظام Go

يأتي هذا الكشف بعد شهر واحد فقط من اكتشاف Socket هجومًا آخر على سلسلة توريد البرمجيات (Supply Chain Attack) استهدف بيئة Go باستخدام حزمة ضارة توفر للمهاجم إمكانية الوصول عن بُعد إلى الأنظمة المصابة.

استنتاجات أمنية

أكد التقرير أن استخدام أسماء ملفات متكررة، وتقنيات تشفير تعتمد على المصفوفات، وأساليب تأخير التنفيذ يشير إلى أن المهاجم يعمل ضمن جهة منظمة تهدف إلى البقاء والتكيف مع أي تغييرات.

وأضاف التقرير أن وجود عدة حزم ضارة باستخدام أسماء “hypert” و”layout”، بالإضافة إلى نطاقات احتياطية متعددة، يدل على بنية تحتية مصممة للبقاء لفترات طويلة، مما يسمح للمهاجم بتغيير وجهته بمجرد حظر نطاق أو مستودع معين.

كيفية الحماية

  • تجنب تثبيت حزم Go من مصادر غير موثوقة أو غير معروفة.
  • مراجعة أكواد الحزم المفتوحة المصدر قبل تثبيتها.
  • استخدام أدوات أمنية متخصصة للكشف عن البرمجيات الضارة في الحزم.
  • التحقق من التوقيعات الرقمية للحزم والتأكد من مصدرها الرسمي.
وسوم
محمد طاهر
محمد طاهر
المقالات: 134

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


The reCAPTCHA verification period has expired. Please reload the page.

إقرأ أيضًا

الرئيسية إرسل إيميل أتصل بنا أعلى الصفحة