반응형
악성 Go 및 npm 패키지가 발견되었는데, 이들은 원격 데이터 삭제와 크로스 플랫폼 멀웨어를 전달하도록 설계
주요 내용
- Go 패키지: 사이버 보안 연구원들은 윈도우와 리눅스 시스템에 추가 페이로드를 다운로드하고 실행하는 악성 Go 패키지 11개를 발견했습니다. 이 패키지들은 호스트 정보를 수집하고, 웹 브라우저 데이터에 접근하며, 명령 및 제어 서버와 통신하는 2단계 바이너리를 가져오는 난독화된 로더를 숨기고 있습니다. 공격자들은 Go 생태계의 분산된 특성을 이용해 개발자들이 악성 코드를 통합하도록 유도했습니다.
- 식별된 패키지 목록은 다음과 같습니다.
- github.com/stripedconsu/linker
- github.com/agitatedleopa/stm
- github.com/expertsandba/opt
- github.com/wetteepee/hcloud-ip-floater
- github.com/weightycine/replika
- github.com/ordinarymea/tnsr_ids
- github.com/ordinarymea/TNSR_IDS
- github.com/cavernouskina/mcp-go
- github.com/lastnymph/gouid
- github.com/sinfulsky/gouid
- github.com/briefinitia/gouid
- 식별된 패키지 목록은 다음과 같습니다.
- npm 패키지: naya-flore와 nvlore-hsc라는 두 개의 악성 npm 패키지는 WhatsApp 소켓 라이브러리로 위장했습니다. 이 패키지들은 개발자의 시스템을 원격으로 삭제하기 위해 전화번호 기반 킬 스위치를 사용하며, 모든 파일을 재귀적으로 삭제합니다. 또한, 데이터 유출을 위한 기능과 비공개 저장소에 대한 무단 액세스를 제공하는 하드코딩된 GitHub 개인 액세스 토큰이 포함되어 있었습니다.
- 결론: 오픈 소스 저장소는 여전히 멀웨어 배포를 위한 매력적인 채널이며, 공격자들은 파일 수를 최소화하고 난독화를 사용하는 등 입증된 기술에 의존하고 있습니다.
https://thehackernews.com/2025/08/malicious-go-npm-packages-deliver-cross.html
반응형
'보안' 카테고리의 다른 글
| WinRAR 제로데이 악용으로 악성코드 실행하기 (0) | 2025.08.09 |
|---|---|
| SQUID-2025:1, 심각한 Squid 프록시 취약점 (0) | 2025.08.09 |
| Linux 백도어 Plague, PAM(Pluggable Authentication Module) 모듈로 위장하여 인증을 우회 (0) | 2025.08.03 |
| 39만대 감염, 루마 스틸 (0) | 2025.05.31 |
| PS4Emus 악성코드 주의 (0) | 2024.06.06 |