Los investigadores de ciberseguridad están alertando sobre una campaña maliciosa en curso que se dirige al ecosistema GO con módulos tipográficos que están diseñados para implementar el malware del cargador en los sistemas Linux y Apple MacOS.
“El actor de amenaza ha publicado al menos siete paquetes que se hacen producirse por bibliotecas GO ampliamente utilizadas, incluida una (Github (.) COM/Shallowmulti/Hypert) que parece apuntar a los desarrolladores del sector financiero”, dijo el investigador de Socket Kirill Boychenko en un nuevo mensaje.
“Estos paquetes comparten nombres de archivos maliciosos repetidos y técnicas consistentes de ofuscación, lo que sugiere un actor de amenaza coordinada capaz de doblar rápidamente”.
Si perfectamente todos ellos continúan estando disponibles en el repositorio oficial de paquetes, sus repositorios de GitHub correspondientes que salgan “GitHub (.) Com/ornatedoctrin/diseño” ya no son accesibles. La tira de paquetes de GO offensivos está a continuación –
- Shallowmulti/Hypert (github.com/shallowmulti/hypert)
- Shadowybulk/Hypert (github.com/shadowybulk/hypert)
- BeaLatedPlanet/Hypert (github.com/belatedplanet/hypert)
- ADMACIDADA/HYPERT (Github.com/thankfulmai/hypert)
- VainRboot/Layout (github.com/vainreboot/layout)
- ornatedoctrin/diseño (github.com/ornatedoctrin/layout)
- UtilizedSun/Layout (github.com/utilizedsun/Layout)
Los paquetes falsificados, el prospección de Socket incompatible, contienen código para conseguir la ejecución del código remoto. Esto se logra ejecutando un comando de shell ofuscado para recuperar y ejecutar un script alojado en un servidor remoto (“AltrasArtreet (.) ICU”). En un probable esfuerzo para esquivar la detección, el script remoto no se obtiene hasta que haya transcurrido una hora.
El objetivo final del ataque es instalar y ejecutar un archivo ejecutable que pueda robar datos o credenciales.
La divulgación llegó un mes luego de que Socket reveló otra instancia de un ataque de sujeción de suministro de software dirigido al ecosistema GO a través de un paquete malvado capaz de otorgar el llegada remoto adversario a los sistemas infectados.
“El uso cliché de nombres de archivo idénticos, la ofuscación de cadenas basado en la matriz y las tácticas de ejecución retrasadas sugieren fuertemente un adversario coordinado que planea persistir y adaptarse”, señaló Boychenko.
“El descubrimiento de múltiples paquetes maliciosos de hipert y diseño, conexo con múltiples dominios respaldados, apunta a una infraestructura diseñada para la persistencia, lo que permite al actor de amenaza a pivotar cada vez que un dominio o repositorio esté en la tira negra o eliminada”.
