Pesquisadores de cibersegurança estão alertando sobre uma campanha maliciosa em andamento que tem como alvo o ecossistema Go com módulos typosquatted projetados para implantar malware loader em sistemas Linux e Apple macOS.
"O ator de ameaças publicou pelo menos sete pacotes que se passam por bibliotecas Go amplamente utilizadas, incluindo um (github[.]com/shallowmulti/hypert) que parece mirar em desenvolvedores do setor financeiro", disse o pesquisador da Socket, Kirill Boychenko, em um novo relatório.
Esses pacotes compartilham nomes de arquivos maliciosos repetidos e técnicas de ofuscação consistentes, sugerindo um ator de ameaça coordenado capaz de pivotar rapidamente.
Embora todos eles continuem disponíveis no repositório oficial de pacotes, seus respectivos repositórios no GitHub, com exceção de "github[.]com/ornatedoctrin/layout", não estão mais acessíveis.
A lista dos pacotes Go ofensivos é a seguinte:
- shallowmulti/hypert (github.com/shallowmulti/hypert)
- shadowybulk/hypert (github.com/shadowybulk/hypert)
- belatedplanet/hypert (github.com/belatedplanet/hypert)
- thankfulmai/hypert (github.com/thankfulmai/hypert)
- vainreboot/layout (github.com/vainreboot/layout)
- ornatedoctrin/layout (github.com/ornatedoctrin/layout)
- utilizedsun/layout (github.com/utilizedsun/layout)
A análise da Socket descobriu que os pacotes falsificados contêm código para alcançar a execução remota de código.
Isso é conseguido ao executar um comando de shell ofuscado para recuperar e executar um script hospedado em um servidor remoto ("alturastreet[.]icu").
Em um provável esforço para evitar detecção, o script remoto não é buscado até que uma hora tenha passado.
O objetivo final do ataque é instalar e executar um arquivo executável que pode potencialmente roubar dados ou credenciais.
A divulgação chegou um mês depois da Socket revelar outra instância de um ataque à cadeia de suprimentos de software mirando o ecossistema Go via um pacote malicioso capaz de conceder ao adversário acesso remoto a sistemas infectados.
"O uso repetido de nomes de arquivos idênticos, ofuscação de string baseada em array e táticas de execução atrasada sugerem fortemente um adversário coordenado que planeja persistir e se adaptar", Boychenko observou.
A descoberta de múltiplos pacotes maliciosos hypert e layout, juntamente com domínios de fallback múltiplos, aponta para uma infraestrutura projetada para longevidade, permitindo que o ator de ameaça pivote sempre que um domínio ou repositório for colocado em lista negra ou removido.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...