17
كشف باحثو الأمن السيبراني عن ثلاث وحدات Go خبيثة ضمن سلسلة توريد برمجية متقدمة، تحتوي على تعليمات برمجية مشفّرة بشدة تقوم بجلب حمولة لاحقة تمسح قرص النظام الأساسي في أجهزة Linux بالكامل وتمنع تشغيلها نهائيًا.
تفاصيل الوحدات الخبيثة
الوحدات المتأثرة
- github[.]com/truthfulpharm/prototransform
- github[.]com/blankloggia/go-mcp
- github[.]com/steelpoor/tlsproxy
آلية التنفيذ
- الوحدات تتحقق مما إذا كان نظام التشغيل الذي يتم تشغيله هو Linux
- يتم تنزيل الحمولات باستخدام أمر wget من خوادم عن بُعد
- الحمولة عبارة عن سكربت Shell مدمر يكتب بيانات صفرية على القرص الأساسي (“/dev/sda”)، مما يمنع الجهاز من الإقلاع
التأثيرات والتهديدات
أفاد باحثون من شركة Kroll أن برمجية GhostWeaver تُستخدم ضمن حملة أوسع تُعرف باسم CLEARFAKE، التي تهدف للوصول الأولي إلى أجهزة الضحايا عبر استغلال أداة ClickFix.
- خداع المستخدمين لتنفيذ أوامر
MSHTA - نشر برمجية سرقة البيانات Lumma Stealer
- استغلال عناصر الويب المزيفة لجذب المستخدمين
إجراءات الوقاية
“يجب على المطورين التحقق من صحة الحزم عن طريق فحص تاريخ الناشر وروابط مستودعات GitHub، ومراجعة التبعيات بانتظام، وتطبيق ضوابط وصول صارمة على المفاتيح الخاصة.”– الباحثة أوليفيا براون، “Socket”
