Investigadores de ciberseguridad han revelado detalles de un módulo Go receloso diseñado para compendiar contraseñas, crear ataque persistente a través de SSH y ofrecer una puerta trasera de Linux indicación Rekoobe.
El módulo Go, github(.)com/xinfeisoft/crypto, se hace acaecer por el código colchoneta probado “golang.org/x/crypto”, pero inyecta código receloso responsable de filtrar secretos ingresados a través de solicitudes de contraseña del terminal a un punto final remoto, obtiene un script de shell en respuesta y lo ejecuta.
“Esta actividad encaja con la confusión del espacio de nombres y la suplantación del subrepositorio probado golang.org/x/crypto (y su espejo de GitHub github.com/golang/crypto)”, dijo el investigador de seguridad de Socket Kirill Boychenko. “El tesina probado identifica go.googlesource.com/crypto como canónico y alcahuetería a GitHub como un espejo, una distinción que el actor de amenazas abusa para hacer que github.com/xinfeisoft/crypto parezca rutinario en los gráficos de dependencia”.
Específicamente, la puerta trasera se ha colocado internamente del archivo “ssh/terminal/terminal.go”, de modo que cada vez que una aplicación víctima invoca ReadPassword() (una función supuestamente destinada a interpretar entradas como contraseñas desde una terminal) provoca que se capturen esos secretos interactivos.
La principal responsabilidad del script descargado es funcionar como un atmósfera de Linux, agregando la esencia SSH de un actor de amenazas al archivo “/home/ubuntu/.ssh/authorized_keys”, configurando las políticas predeterminadas de iptables en ACEPTAR en un intento de aflojar las restricciones del firewall y recuperando cargas enseres adicionales de un servidor extranjero mientras las disfrazan con la extensión .mp5.
De las dos cargas enseres, una es un ayudante que prueba la conectividad a Internet e intenta comunicarse con una dirección IP (“154.84.63(.)184”) a través del puerto TCP 443. El software probablemente funcione como un inspección o cargador, señaló Socket.
Se ha evaluado que la segunda carga útil descargada es Rekoobe, un conocido troyano de Linux que se ha detectado en estado salvaje desde al menos 2015. La puerta trasera es capaz de admitir comandos de un servidor controlado por un atacante para descargar más cargas enseres, robar archivos y ejecutar un shell inverso. En agosto de 2023, grupos de estados-nación chinos como APT31 han utilizado Rekoobe.
Si aceptablemente el paquete aún permanece incluido en pkg.go.dev, el equipo de seguridad de Go ha tomado medidas para cerrar la biblioteca como maliciosa.
“Esta campaña probablemente se repetirá porque el patrón requiere poco esfuerzo y detención impacto: un módulo similar que conecta un confín de detención valencia (ReadPassword), usa GitHub Raw como puntero rotatorio, luego tournée en dirección a curl | sh staging y entrega de carga útil de Linux”, dijo Boychenko.
“Los defensores deben anticipar ataques similares a la dependencia de suministro dirigidos a otras bibliotecas de ‘borde de credenciales’ (ayudantes de SSH, solicitudes de autenticación CLI, conectores de bases de datos) y más indirección a través de superficies de alojamiento para rotar la infraestructura sin retornar a propagar el código”.
