Модули на Go стирают диски на Linux-серверах: опасная атака через GitHub
Главная » Новости
Security Vision Next Generation SGRCУзнайте, как на первой в России платформе с ИИ построено комплексное решение для задач стратегической безопасности. Security Vision SGRC объединяет ресурсно-сервисную модель и десятки методик для моделирования угроз, оценки рисков, непрерывности бизнеса, аудита и комплаенса. NG SGRC подходит для компаний с требованиями кастомизации благодаря Low-code конструкторам платформы и мультиарендности. Для среднего и малого бизнеса предусмотрены дополнительные варианты SGRC Basic и SGRC SaaS.→ Ознакомиться
Реклама, 18+. ООО «Интеллектуальная Безопасность», ИНН 7719435412

Модули на Go стирают диски на Linux-серверах: опасная атака через GitHub

Екатерина Быстрова 06 Мая 2025 - 15:35
...
Модули на Go стирают диски на Linux-серверах: опасная атака через GitHub

Исследователи из компании Socket, занимающейся безопасностью цепочек поставок, обнаружили новую волну атак на Linux-серверы — и на этот раз злоумышленники действуют через модули на Go, опубликованные на GitHub.

Вредоносный код был обнаружен в трёх модулях, замаскированных под легитимные проекты. Внутри — сильно запутанный код, который тянет на сервер скрипт с говорящим названием done.sh и тут же запускает его.

Что делает скрипт? Он запускает команду dd, которая затирает весь диск нулями. Да-да, весь: основной том /dev/sda, где хранится всё — от операционной системы до пользовательских файлов и баз данных. После такого «обнуления» восстановить систему уже невозможно — она становится полностью неработоспособной.

Атака нацелена исключительно на Linux-среду — скрипт предварительно проверяет, что выполняется именно на ней (runtime.GOOS == "linux"). И если всё «по плану» — начинается уничтожение данных.

Socket отмечает, что всё происходит практически мгновенно: модули скачивают скрипт с помощью wget и сразу запускают его. Реагировать просто не успеешь.

Вот список зловредных модулей, которые были удалены с GitHub после обнаружения:

  • github[.]com/truthfulpharm/prototransform
  • github[.]com/blankloggia/go-mcp
  • github[.]com/steelpoor/tlsproxy

Все трое выглядели как нормальные разработки: один якобы конвертировал данные сообщений, второй реализовывал протокол Model Context, а третий предлагал TLS-прокси для TCP и HTTP. Но на деле — лишь прикрытие для деструктивного кода.

Проблему усугубляет сама архитектура Go-экосистемы: из-за децентрализации и отсутствия строгой модерации злоумышленники могут создавать модули с любыми именами — даже такими, что выглядят как «настоящие». И если разработчик случайно подключит такой модуль — последствия могут быть катастрофическими.

Вывод простой: даже кратковременный контакт с этими модулями — это прямой путь к полной потере данных. Будьте осторожны, проверяйте зависимости и не доверяйте незнакомым репозиториям, даже если они выглядят «по-настоящему».

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

MAX теперь официально работает на Astra Linux: тесты завершены
Екатерина Быстрова 25 Ноября 2025 - 15:15
Linux Astra Linux Соответствие законодательству РФ КорпорацииГосударство
MAX теперь официально работает на Astra Linux: тесты завершены

Национальный мессенджер MAX подтвердил совместимость с операционной системой Astra Linux. После завершения тестов платформа получила сертификат «Ready for Astra», который удостоверяет корректную и безопасную работу мессенджера на устройствах под управлением этой ОС, включая системы с повышенными требованиями к защите.

Совместимость означает, что пользователи Astra Linux — сотрудники госструктур, образовательных и медицинских учреждений, госкорпораций и других организаций — теперь могут без ограничений устанавливать и использовать MAX.

По данным Strategy Partners, Astra Linux в 2024 году занимает 76% российского рынка операционных систем.

Аудитория MAX в ноябре превысила 55 млн человек, а вся инфраструктура сервиса размещена в России. Приложение входит в реестр отечественного ПО.

В «Группе Астра» отмечают, что подтверждение совместимости важно для распространения российских коммуникационных решений в госсекторе и бизнесе.

В VK, где развивается проект MAX, добавляют, что сертификация упрощает внедрение мессенджера в организациях и позволяет использовать его для работы с конфиденциальными данными.

Буквально на прошлой неделе МАХ стал доступен на устройствах под управлением ОС Аврора.

Напомним, ранее МАХ оказался в центре скандала: его подозревали в слежке за пользователями, передаче данных за рубеж и использовании компонентов из недружественных стран.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
В сентябре выявлено 1,7 тыс. фишинговых ресурсов с темой iPhone 17
Новость
В сентябре выявлено 1,7 тыс. фишинговых ресурсов с темой iPh...
MULTISTATUS: на рынок вышел новый сервис мониторинга веб-ресурсов
Новость
MULTISTATUS: на рынок вышел новый сервис мониторинга веб-рес...
ИИ-помощник Claude провел для шпионов 30 атак, несколько — с успехом
Новость
ИИ-помощник Claude провел для шпионов 30 атак, несколько — с...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.