Linux が標的の Go モジュール・マルウェア:ディスク完全削除でサプライチェーンを狙う

Malicious Go Modules Deliver Disk-Wiping Linux Malware in Advanced Supply Chain Attack

2025/05/03 TheHackerNews — サイバー・セキュリティ研究者たちが発見した、3つの悪意のある Go モジュールは、次段階のペイロードを取得する難読化コードにより、Linux システムのプライマリ・ディスクを永久に上書きし、起動不能にする可能性があるものだ。それらのパッケージ名は、以下の通りである:

  • github[.]com/truthfulpharm/prototransform
  • github[.]com/blankloggia/go-mcp
  • github[.]com/steelpoor/tlsproxy

Socket の研究者である Kush Pandya は、「一見すると正当なモジュールのように見えるが、そこに取り込まれているのは、リモート・ペイロードを取得して実行するために、高度に難読化されたコードである」と述べている。

それらのパッケージは、実行されているオペレーティング・システムが Linux かどうかを確認し、Linux の場合には、wget を用いてリモート・サーバから、次段階のペイロードを取得するように設計されている。

一連のペイロードは、破壊的なシェル・スクリプトであり、プライマリ・ディスク “/dev/sda” 全体をゼロで上書きすることで、マシンの起動を不可能にする。

Kush Pandya は、「この破壊的な手法は、データを直接かつ不可逆的に上書きするため、データ復旧ツールやフォレンジック・プロセスでは、データを復元できない。この悪意のスクリプトは、標的とする Linux サーバや開発環境を、完全に機能不全に陥らせる。つまり、信頼できると思わせるコードを、壊滅的な脅威に変えてしまう可能性のある、現代のサプライチェーン攻撃がもたらす、きわめて危険な状況を浮き彫りにしている」と述べている

以前に npm で、レジストリ内でニーモニック・シード・フレーズや暗号通貨の秘密鍵を盗み出し、機密データを盗み出す機能を持つ、複数の悪意のあるパッケージが特定されている。今回の情報開示は、それを受けてのものである。SocketSonatypeFortinet により特定された、パッケージのリストは以下の通りである:

  • crypto-encrypt-ts
  • react-native-scrollpageviewtest
  • bankingbundleserv
  • buttonfactoryserv-paypal
  • tommyboytesting
  • compliancereadserv-paypal
  • oauth2-paypal
  • paymentapiplatformservice-paypal
  • userbridge-paypal
  • userrelationship-paypal

Python Package Index (PyPI) リポジトリでは、仮想通貨ウォレットを標的とするマルウェアが仕込まれたパッケージ (web3x と herewalletbot) も発見されているが、それらは、ニーモニック・シード・フレーズを盗み出す機能を備えている。これらのパッケージは、2024年の公開以来、合計で 6,800回以上もダウンロードされている。

さらに、Gmail の SMTP サーバと WebSocket を利用して、データ窃取やリモート・コマンド実行を行い、検出を回避しようとする、7つの PyPI パッケージも発見されている。削除されたパッケージは、以下の通りである:

  • cfc-bsb (ダウンロード数 2,913)
  • coffin2022 (ダウンロード数 6,571)
  • coffin-codes-2022 (ダウンロード数 18,126)
  • coffin-codes-net (ダウンロード数 6,144)
  • coffin-codes-net2 (ダウンロード数 6,238)
  • coffin-codes-pro (ダウンロード数 9,012)
  • coffin-grave (ダウンロード数 6,544)

これらのパッケージは、ハードコードされた Gmail アカウントの認証情報を使用して、サービスの SMTP サーバにサインインし、別の Gmail アドレスにメッセージを送信することで、侵入の成功を通知する。その後に、WebSocket 接続を達成し、攻撃者との双方向通信チャネルを確立する。

この脅威アクターは、Gmail ドメイン (smtp.gmail[.]com) に対する信頼性と、企業のプロキシやエンドポイント保護システムが、疑念のフラグを立てる可能性が低いという事実を悪用し、ステルス性と信頼性の両方を実現している。

他のパッケージとは一線を画す cfc-bsb は、Gmail 関連の機能は備えていないが、リモート・アクセスを容易にする WebSocket ロジックを組み込んでいる。

このようなサプライチェーンの脅威によるリスクを軽減するために、開発者に対して推奨されるのは、発行履歴と GitHub リポジトリのリンクを確認してパッケージの信頼性を検証し、依存関係を定期的に監査し、秘密鍵に厳格なアクセス制御を適用することだ。

Socket の研究者である Olivia Brown は、「攻撃者は Gmail などの正規のサービスを利用して、機密データを盗み出す可能性があるため、特に SMTP トラフィックなどの、通常とは異なる送信接続には注意してほしい。数年以上にわたり削除されずに、存在しているという理由だけで、むやみにパッケージを信頼してはいけない」と述べている。

ディスクを破壊する前に、どれだけのデータを盗み出しているのか、そのあたりが見えませんが、この種のワイパー攻撃が怖いのは、その悪意のアクティビティが一瞬で完了するところにあります。よろしければ、Wiper で検索も、ご利用ください。なお、Gmail の SMTP を悪用する攻撃者キャンペーンについては、2025/05/02 の「PyPI に7つの悪意のパッケージ:Gmail SMTP への信用を悪用する新たな手口」を、ご参照ください。