Im März 2025 entdeckten Sicherheitsexperten eine neuartige Malware-Kampagne, die Linux-Systeme über manipulierte Go-Module angreift. Dabei handelt es sich um eine schwerwiegende Supply-Chain-Attacke, bei der Entwickler und IT-Verantwortliche mit einer bislang unbekannten Bedrohung konfrontiert sind: einer datenzerstörenden Wiper-Malware, die in bösartigen Go-Paketen auf GitHub versteckt ist. Die Angreifer nutzten die dezentrale Struktur der populären Go-Programmiersprache, um unentdeckt eine zerstörerische Schadsoftware in Entwicklerumgebungen und Serverinfrastrukturen einzuschleusen. Diese Malware richtet sich gezielt gegen Linux-basierte Systeme und verursacht durch das vollständige Überschreiben des Speicherbereichs irreparable Datenverluste. Die Folgen reichen von Systemausfällen bis hin zu einem kompletten Datenverlust, der vor allem Unternehmen und Projekte mit hohem Sicherheitsbedarf empfindlich trifft.
Die verwendeten Go-Module waren auf GitHub unter legitimen Projektnamen gelistet und präsentierten sich als nützliche Komponenten, die verschiedene technische Aufgaben erfüllen: eine für die Umwandlung von Nachrichtendaten, eine Implementierung des Model Context Protocols sowie eine TLS-Proxy-Funktion zur Verschlüsselung von Netzwerkkommunikation. Das perfide Vorgehen der Angreifer bestand darin, diese Module mit stark verschleiertem Schadcode auszustatten. Der Kern dieses Codes führt nach dem Herunterladen automatisch shellbasierte Skripte aus, die das System unwiederbringlich zerstören. Besonders brisant ist dabei die Art der Schadsoftware, ein Bash-Skript mit dem Namen done.sh, das per dd-Kommando die gesamte primäre Festplatte /dev/sda mit Nullen überschreibt.
Durch das Überschreiben jeder einzelnen Speicherstelle wird die gesamte Dateisystemstruktur zerstört, das Betriebssystem unbrauchbar und sämtliche Daten sind verloren. Das Skript führt vor seiner Ausführung eine Überprüfung durch, um sicherzustellen, dass es sich um ein Linux-System handelt, was weitere Betriebssysteme vor direkten Angriffen schützt. Die Zerstörung setzt sofort nach dem Herunterladen und Ausführen der Payload ein, wodurch kaum Zeit für Gegenmaßnahmen bleibt. Diese Angriffsform spiegelt eine zunehmende Gefahr aus dem Umfeld der Entwickler-Community wider. Die verbreitete Nutzung von Open-Source-Komponenten und dezentrale Verwaltung von Paketen in Sprachen wie Go, Node.
js oder Python bieten ein attraktives Ziel für solche Supply-Chain-Attacken. Angreifer können Module mit ähnlichen oder identischen Namen wie legitime Pakete hochladen, um Entwickler zur unbemerkten Integration zu verleiten. In der Folge gelangt Malware in offizielle Softwareprodukte oder Serverumgebungen. Der Vorfall verdeutlicht, wie wichtig es ist, Sicherheitsprüfungen im Entwicklungsprozess zu verankern. Entwickler sollten Repository-Quellen kritisch hinterfragen, Pakete regelmäßig auf ihre Herkunft analysieren und automatisierte Prüfungen einsetzen, um bösartige Muster frühzeitig zu erkennen.
Gleichzeitig sind Unternehmen und IT-Abteilungen aufgerufen, ihre Linux-Server mit geeigneten Monitoring-Tools und Backup-Strategien gegen irreversible Schäden abzusichern. Nur so lässt sich vermeiden, dass ein solcher zerstörerischer Angriff katastrophale Folgen für Daten und Infrastrukturen hat. Die Entdeckung durch Forscher des Sicherheitsspezialisten Socket im April 2025 zeigt weiterhin, dass solche Bedrohungen oft erst spät erkannt werden können. Die betroffenen Module wurden daraufhin von GitHub entfernt, dennoch bleibt das Risiko unvermindert hoch, weil Angreifer ähnliche Techniken weiterhin anwenden. Die Herausforderung für die Sicherheitsexperten besteht darin, die komplexen Lieferketten von Softwareprojekten transparent zu machen und mit sinnvollen Kontrollen gegen illegitime Manipulationen zu schützen.
Langfristig könnte eine verstärkte Integration von vertrauenswürdigen Signaturen, Paketprüfungen und die Entwicklung sicherer Frameworks für Dependency-Management helfen, diese Angriffe zu verhindern. Open-Source-Communities müssen zudem sensibilisiert werden, um verdächtige Aktivitäten schnell zu melden und gemeinsam dagegen vorzugehen. Nicht zuletzt zeigt dieser Fall exemplarisch, dass Cyberkriminelle zunehmend auf gezielte Zerstörung abzielen, um ihre Ziele durchzusetzen oder politische und wirtschaftliche Gegner anzugreifen. Während bereits Malware wie Ransomware weit verbreitet ist, birgt die direkte Manipulation von Softwareabhängigkeiten ein noch unterschätztes Risiko für die IT-Sicherheit. Unternehmen sollten ihre Strategien entsprechend anpassen und neben herkömmlichen Schutzmechanismen auch die Sicherheit der gesamten Softwarelieferkette in den Fokus rücken.
Die Integration von Automatisierungslösungen für Patching und Security-Scanning kann dabei helfen, Sicherheitslücken frühzeitig zu schließen und die Verwundbarkeit gegenüber solchen Supply-Chain-Attacken zu reduzieren. Ebenso empfiehlt sich der Einsatz von Tools zur Erkennung ungewöhnlicher Netzwerkaktivitäten, um schädliche Download- und Ausführungsvorgänge zu identifizieren. In Summe verdeutlicht der Fall der Linux-Wiper-Malware in Go-Modulen auf GitHub eindrücklich, wie kritisch und komplex die Lage in der Softwareentwicklung und IT-Sicherheit derzeit ist. Entwickler, Administratoren und Sicherheitsforscher stehen vor der Herausforderung, koordiniert und mit modernen Verfahren gegen eine immer raffiniertere Bedrohungslandschaft vorzugehen, um die digitale Infrastruktur nachhaltig zu schützen und Schäden zu vermeiden.
