Três componentes maliciosos foram descobertos no ecossistema de módulos de software Go, capazes de apagar completamente dados de sistemas Linux. Os pacotes, que aparentavam ser legítimos, continham código ofuscado que iniciava o carregamento de um segundo estágio do ataque.
Leia também
25% das organizações usarão navegador seguro
Segurança de senhas despenca em 2025
Ao serem instalados, os módulos detectavam o uso do Linux e se conectavam a um servidor remoto via wget para baixar um script. Esse código sobrescrevia a unidade principal /dev/sda, o que tornava impossível a recuperação de dados e inutilizava o sistema.
A empresa de segurança Socket aponta que esse tipo de ataque compromete a cadeia de fornecimento de software e impede qualquer análise ou recuperação posterior. Casos semelhantes foram encontrados em repositórios como npm e PyPI. No npm, havia pacotes voltados ao roubo de frases mnemônicas e chaves privadas de carteiras de criptomoedas. Alguns desses módulos usavam nomes associados a sistemas de pagamento, o que ajudava a enganar os desenvolvedores.
No PyPI, ferramentas com funções semelhantes foram detectadas, como web3x e herewalletbot, com mais de 6.800 downloads em 2024. Um grupo de sete pacotes usava servidores SMTP do Gmail e conexões WebSocket para se comunicar com invasores. As credenciais embutidas permitiam que os criminosos fossem notificados sobre instalações bem-sucedidas e mantivessem contato com os dispositivos infectados.
Entre os pacotes analisados, destaca-se o cfc-bsb, que usava apenas WebSocket, possibilitando controle remoto direto sobre a máquina infectada. Os especialistas recomendam revisar o histórico de publicações, validar os links para repositórios, monitorar dependências e bloquear tráfego de saída suspeito, inclusive por canais aparentemente seguros como o Gmail.
