Investigadores de ciberseguridad han revelado detalles de un módulo Go malicioso diseñado para recopilar contraseñas, crear acceso persistente a través de SSH y distribuir una puerta trasera de Linux llamada Rekoobe.
El módulo Go github(.)com/xinfeisoft/crypto se hace pasar por el código base legítimo «golang.org/x/crypto», pero inyecta código malicioso que filtra secretos ingresados a través de la solicitud de contraseña del terminal a un punto final remoto, y recupera y ejecuta un script de shell en respuesta.
«Esta actividad cae dentro de la confusión del espacio de nombres y la suplantación del subrepositorio legítimo golang.org/x/crypto (y su espejo de GitHub github.com/golang/crypto)», dijo el investigador de seguridad de socket Kirill Boychenko. «Los proyectos legítimos identifican go.googlesource.com/crypto como canónico y tratan a GitHub como un espejo. Los actores de amenazas explotan esta distinción para mostrar rutinariamente github.com/xinfeisoft/crypto en sus gráficos de dependencia».
Específicamente, la puerta trasera se coloca dentro del archivo «ssh/terminal/terminal.go» para que cada vez que la aplicación víctima llame a ReadPassword(), una función cuyo propósito es leer entradas como contraseñas del terminal, esa información se capture para secretos interactivos.
La función principal del script descargado es actuar como un escenario de Linux, agregar las claves SSH del actor de la amenaza al archivo ‘/home/ubuntu/.ssh/authorized_keys’, configurar la política predeterminada de iptables en ACEPTAR para aliviar las restricciones del firewall y recuperar cargas útiles adicionales de servidores externos mientras se disfrazan con una extensión .mp5.
Una de las dos cargas útiles es un asistente que prueba la conexión a Internet e intenta comunicarse con la dirección IP (‘154.84.63(.)184’) a través del puerto TCP 443. Socket señala que el programa probablemente funcione como explorador o cargador.
Se cree que la segunda carga útil descargada es Rekoobe, un conocido troyano de Linux que se ha detectado en estado salvaje desde al menos 2015. Esta puerta trasera puede recibir comandos de un servidor controlado por un atacante para descargar más cargas útiles, robar archivos y ejecutar un shell inverso. En agosto de 2023, Rekoobe estaba siendo utilizado por grupos de estados-nación chinos como APT31.
El paquete todavía aparece en pkg.go.dev, pero el equipo de seguridad de Go ha tomado medidas para bloquearlo como malicioso.
«Es probable que esta campaña se repita porque requiere poco esfuerzo y alto impacto, con un módulo similar que conecta el límite superior (ReadPassword), usa GitHub Raw como puntero de rotación y luego gira hacia curl | sh staging y entrega de carga útil de Linux», dijo Boychenko.
«Los defensores deben anticipar ataques similares a la cadena de suministro dirigidos a otras bibliotecas de ‘borde de credenciales’ (ayudantes SSH, mensajes de autenticación CLI, conectores de bases de datos), así como ataques indirectos a través de superficies de alojamiento que rotan la infraestructura sin volver a publicar el código».
Source link
