Malware oculto em módulos Go apaga discos de servidores Linux

Pesquisadores identificaram um ataque direcionado a servidores baseados em Linux e ambientes de desenvolvimento, no qual um malware verifica se está sendo executado em um sistema Linux antes de ativar sua carga maliciosa.

O componente principal do ataque é um script Bash chamado “done.sh”, que executa o comando “dd” para sobrescrever o disco com zeros, resultando na perda irreversível de dados e na falha total do sistema. O alvo é o volume de armazenamento primário “/dev/sda”, onde geralmente estão armazenados dados críticos do sistema, arquivos de usuários, bancos de dados e configurações.

Os módulos maliciosos se passavam por projetos legítimos, como uma ferramenta de conversão de mensagens (truthfulpharm/prototransform), uma implementação Go do Model Context Protocol (blankloggia/go-mcp) e um proxy TLS para servidores TCP e HTTP (steelpoor/tlsproxy). Esses módulos continham código ofuscado que, ao ser decodificado, executava comandos para baixar o script destrutivo via “wget”, utilizando “/bin/bash” ou “/bin/sh”.

Todos eles já foram removidos do GitHub.