Descubren malware tipo ‘wiper’ para Linux en módulos Go publicados en GitHub
Investigadores de la firma de seguridad Socket han identificado una campaña maliciosa que utiliza módulos escritos en Go y alojados en GitHub para distribuir un malware de tipo wiper específicamente dirigido a servidores Linux con un objetivo ciertamente radical: destruir por completo todos los datos almacenados en el sistema. La amenaza fue detectada el mes pasado […] La entrada Descubren malware tipo ‘wiper’ para Linux en módulos Go publicados en GitHub es original de MuyLinux
Investigadores de la firma de seguridad Socket han identificado una campaña maliciosa que utiliza módulos escritos en Go y alojados en GitHub para distribuir un malware de tipo wiper específicamente dirigido a servidores Linux con un objetivo ciertamente radical: destruir por completo todos los datos almacenados en el sistema. La amenaza fue detectada el mes pasado y se basa en tres módulos de Go con código ofuscado, diseñado para ejecutarse desde servidores remotos.
Aunque los respositorios ya han sido eliminados de GitHub, su análisis ha revelado el patrón que utilizaban: todos descargaban un script Bash llamado done.sh que, una vez ejecutado, lanzaba un comando dd destinado a sobrescribir por completo el contenido del disco principal (/dev/sda) con ceros. Es decir, no se trataba solo de borrar la estructura del sistema de archivos y los datos de usuario, sino de erradicar toda posibilidad de recuperación.
Para más inri, el código malicioso también incluía una verificación explícita del entorno de ejecución, para asegurarse de que se trataba de un sistema Linux (runtime.GOOS == "linux"), lo cual confirma la intencionalidad del ataque contra entornos basados en Linux, incluidos servidores de producción y sistemas de desarrollo.
Los módulos comprometidos eran prototransform, go-mcp y tlsproxy y se hacían pasar por herramientas legítimas con funcionalidades en apariencia inofensivas, como la transformación de mensajes, una implementación de Go del Model Context Protocol y un proxy TLS para cifrar conexiones TCP y HTTP, respectivamente. Según los expertos de Socket, esta estrategia de camuflaje se aprovecha de una de las debilidades del ecosistema Go: la posibilidad de publicar módulos con nombres similares o idénticos sin un sistema centralizado de validación.
Asimismo, en el informe de Socket se advierte que la ejecución del script es prácticamente inmediata tras su descarga, lo que deja muy poco margen para reaccionar. Además, incluso una exposición mínima al código analizado puede tener consecuencias catastróficas, como la pérdida total de datos, insisten.
Pero… ¿y las protecciones básicas del sistema contra este tipo de acciones? Porque las hay, tanto de carácter preventivo para evitar errores como de otro tipo, según la instalación. No se menciona este punto, pero todo parece indicar que el ataque funciona porque el script se ejecuta con permisos de superusuario, sin necesidad de evadir protecciones como SELinux y, probablemente, sus posibilidades de éxito se deban más a configuraciones inseguras que a fallos de Linux.
Sea como fuere, este incidente vuelve a poner sobre la mesa los riesgos latentes en la cadena de suministro de software, y es que al igual que malware reciente como Auto-Color, si bien la ejecución remota a través de dependencias comprometidas es suficiente para infectarse, siempre que el entorno ejecute el código con privilegios elevados, tiene que hacerse desde la misma máquina. Al final la seguridad en Linux no solo depende del kernel o las distribuciones, sino sino de todo lo demás.
La entrada Descubren malware tipo ‘wiper’ para Linux en módulos Go publicados en GitHub es original de MuyLinux
