Pesquisadores de cibersegurança descobriram três módulos maliciosos escritos em Go que podem inutilizar sistemas Linux por completo. Os pacotes, aparentemente legítimos, estavam hospedados no GitHub e continham códigos ofuscados projetados para identificar o sistema operacional e, se for Linux, baixar um script destrutivo de um servidor remoto via wget. Os módulos identificados foram: truthfulpharm/prototransform, blankloggia/go-mcp e steelpoor/tlsproxy. O script baixado sobrescreve totalmente o disco primário (/dev/sda) com zeros, tornando impossível a recuperação dos dados e impedindo a reinicialização da máquina.

O ataque mostra o extremo perigo de ameaças em cadeia de suprimentos, capazes de transformar pacotes aparentemente confiáveis em vetores devastadores. Além disso, outras campanhas foram detectadas em diferentes ecossistemas, como o npm e PyPI. No npm, pacotes como crypto-encrypt-ts, userbridge-paypal e paymentapiplatformservice-paypal tinham funcionalidades para roubar frases mnemônicas e chaves privadas de carteiras de criptomoedas. Já no PyPI, pacotes como web3x e herewalletbot somaram mais de 6.800 downloads com o mesmo objetivo.

Outro grupo de sete pacotes PyPI explorava os servidores SMTP do Gmail e conexões WebSocket para exfiltrar dados e executar comandos remotamente, aproveitando a confiança em domínios legítimos como smtp.gmail.com. Entre eles estão coffin2022 e coffin-codes-2022, com milhares de downloads antes de serem removidos. Profissionais de cibersegurança alertam para a necessidade de verificar a autenticidade dos pacotes, auditar dependências regularmente e monitorar conexões SMTP suspeitas. O histórico de publicação e os repositórios GitHub vinculados devem ser sempre analisados com rigor.