Los investigadores de ciberseguridad han descubierto un conjunto de 11 paquetes GO maliciosos diseñados para descargar cargas útiles adicionales de servidores remotos y ejecutarlas en sistemas Windows y Linux.
«En tiempo de ejecución, el código genera un shell en silencio, extrae cargas útiles de dos etapas del conjunto intercambiable de puntos finales .icu y .tech de comando y control (C2) y los ejecuta en la memoria».
La lista de paquetes identificados es la siguiente:
github.com/stripedconsu/linker github.com/agitatedleopa/stm github.com/expertsandba/opt github.com/wetteepee/hcloud-ip-floater github.com/weightycine/rereplika github.com/ordinarymea/tnsr_ids github.com/cavernouskina/mcp-go github.com/lastnymph/gouid github.com/sinfulky/gouid github.com/briefinitia/gouid
El paquete oculta el cargador ofuscado funcional y recupera el ELF de la segunda etapa y los binarios de ejecutables portátiles (PE). Esto recopilará información del host, accederá a los datos del navegador web y enviará baliza al servidor C2.
«La carga útil de la segunda etapa proporciona una carga útil con un script bash para los sistemas Linux y recupera el ejecutable de Windows a través de CertUtil.exe, lo que facilita que los servidores de Linux Built y las estaciones de trabajo de Windows se comprometan», dijo Brown.
Lo que complica el problema es la naturaleza distribuida del ecosistema GO, lo que permite importar los módulos directamente del repositorio de GitHub y buscar paquetes en pkg.go.go.dev puede causar confusión a los desarrolladores clave.
«Los atacantes explotan la confusión y crean cuidadosamente espacios de nombres para que los módulos maliciosos los hagan parecer confiables de un vistazo, lo que aumenta significativamente las posibilidades de que los desarrolladores potenciales integren inadvertidamente el código destructivo en sus proyectos», dice Socket.
El paquete se califica como el trabajo de actores de una sola amenaza en la reutilización C2 y el formulario de código. Los hallazgos resaltan los continuos riesgos de la cadena de suministro que surgen de la naturaleza multiplataforma de GO para Push Malware.
Este desarrollo coincide con el descubrimiento de dos paquetes de NPM, Naya-Flore y Nvlore-HSC. Incorpora un interruptor de asesinato basado en el número de teléfono que permite a los desarrolladores borrar de forma remota sus sistemas.
Los paquetes que se descargan colectivamente a través de 1.110 descargas todavía están disponibles en el registro NPM al momento de escribir. Ambas bibliotecas fueron publicadas a principios de julio de 2025 por un usuario llamado «Nayflore».
El núcleo de sus operaciones es su capacidad para recuperar bases de datos remotas de los números de teléfono indonesios del repositorio de GitHub. Una vez que se ejecuta el paquete, primero verifica si el teléfono actual está en la base de datos y, si no, elimina recursivamente todos los archivos utilizando el comando «RM -RF *» después del proceso de emparejamiento de WhatsApp.
También sabemos que el paquete contiene funciones que extienden la información del dispositivo a puntos finales externos, pero las llamadas a la función se han comentado, lo que sugiere que el actor de amenaza detrás del esquema está señalando el desarrollo continuo.
«Naya-Flore también incluye un token de acceso personal GitHub que proporciona acceso no autorizado a repositorios privados», dijo el investigador de seguridad Kush Pandya. «El propósito de este token permanece desconocido por el código disponible».
«La presencia de tokens GitHub no utilizados puede indicar un desarrollo incompleto, características planificadas o usar en otras partes de la base de código que no se incluyen en estos paquetes».
Los repositorios de código abierto continúan siendo un atractivo canal de entrega de malware en la cadena de suministro de software, diseñado para robar información confidencial y, en algunos casos, a las billeteras de criptomonedas de destino.
«Si bien las tácticas generales no han evolucionado mucho, los atacantes continúan dependiendo de técnicas probadas, como minimizar los recuentos de archivos, usar scripts de instalación y usar métodos modestos de extracción de datos para maximizar el impacto», dice Fortinet Fortiguard Labs.
«El aumento continuo de la ofuscación también apunta aún más a la importancia de la vigilancia y el monitoreo continuo requerido por los usuarios de estos servicios, y a medida que OSS continúa creciendo, también lo es la superficie de ataque debido a las amenazas de la cadena de suministro».
Source link
