Un ataque a la cadena de suministro ha puesto en peligro a servidores Linux al esconder un malware destructivo dentro de módulos Go maliciosos publicados en GitHub.
El ataque, descubierto en abril de 2025, utiliza módulos Go aparentemente inofensivos que en realidad, contienen código altamente ofuscado diseñado para ejecutar un script de borrado de disco en sistemas Linux.
La Amenaza de los Módulos Go Maliciosos
Este ataque se dirigió específicamente a servidores Linux y entornos de desarrollo.
Los módulos Go involucrados en la campaña eran tres bibliotecas que a simple vista, parecían proyectos legítimos, pero en realidad albergaban código ofuscado que descargaba un payload malicioso para destruir datos.
Los módulos en cuestión eran:
github[.]com/truthfulpharm/prototransformgithub[.]com/blankloggia/go-mcpgithub[.]com/steelpoor/tlsproxy
Según los investigadores de Socket, estos módulos contenían código que, al ser ejecutado, descargaba un script Bash llamado done.sh.
Este script usaba el comando dd para sobrescribir todos los datos en el volumen principal del sistema (/dev/sda), lo que causaba pérdida total e irreversible de datos.
Destrucción Completa de Datos en Sistemas Linux
El script malicioso ejecutado por los módulos Go estaba diseñado para destruir completamente la estructura del sistema de archivos, los datos de usuario, las bases de datos y las configuraciones del sistema operativo.
Esto dejaba al sistema inoperable e irrecuperable, como explicaron los investigadores:
“Al llenar todo el disco con ceros, el script destruye completamente la estructura del sistema de archivos, el sistema operativo y todos los datos de usuario, dejando el sistema inarrancable y no recuperable.” – Socket
La elección de atacar servidores Linux es particularmente grave, ya que muchos de estos sistemas alojan bases de datos críticas, aplicaciones empresariales y servicios en la nube, lo que amplifica el impacto del ataque.
Cómo Funciona el Malware en Módulos Go
Los atacantes utilizaron el ecosistema de Go para distribuir el malware. A través de módulos que parecían legítimos, los desarrolladores sin saberlo integraban código malicioso en sus proyectos.
El malware se activaba cuando el módulo era descargado e instalado en el sistema de desarrollo o servidor, sin dejar tiempo para que los desarrolladores pudieran reaccionar.
Los módulos maliciosos enmascaraban su propósito utilizando nombres de proyectos comunes como:
- Prototransform, para la conversión de datos de mensajes a varios formatos.
- Go-mcp, una implementación del Modelo de Contexto Protocolo.
- Tlsproxy, una herramienta de proxy TLS para servidores TCP y HTTP.
Este tipo de engaño, junto con la falta de controles adecuados en la plataforma Go, permite que los atacantes utilicen nombres de módulos similares a proyectos legítimos, dificultando la detección y aumentando la probabilidad de que los desarrolladores integren el código malicioso en sus sistemas.
Prevención y Recomendaciones
Los investigadores de Socket advierten que incluso una exposición mínima a estos módulos destructivos puede resultar en pérdidas de datos significativas.
Para mitigar este tipo de ataques, se recomienda a los desarrolladores y administradores de sistemas que sigan las siguientes buenas prácticas de seguridad:
- Verificar la autenticidad de los módulos antes de integrarlos en proyectos.
- Implementar sistemas de monitoreo para detectar actividad sospechosa o inesperada en los servidores.
- Utilizar herramientas de seguridad de la cadena de suministro, como escáneres de código, para analizar dependencias.
- Realizar copias de seguridad regulares de datos críticos y sistemas para reducir el impacto de un ataque.
Conclusión
Este ataque subraya los riesgos inherentes a las cadenas de suministro de software y la importancia de la ciberseguridad en el ecosistema de código abierto.
Con el aumento de la descentralización y la falta de verificación adecuada en plataformas como GitHub, los desarrolladores deben estar más atentos que nunca a las posibles amenazas que podrían comprometer la seguridad de sus sistemas y datos.
Es crucial que tanto los desarrolladores como los administradores de sistemas Linux implementen medidas de protección y prevención robustas para evitar caer en trampas como esta, que pueden resultar en pérdidas de datos catastróficas y fallos de sistemas.