Pesquisadores em cibersegurança revelaram detalhes de um módulo malicioso escrito em Go que tem como objetivo capturar senhas, criar acesso persistente via SSH e instalar um backdoor para Linux chamado Rekoobe.
O módulo, disponível em github[.]com/xinfeisoft/crypto, imita o código legítimo do "golang.org/x/crypto", mas injeta código malicioso responsável por exfiltrar segredos digitados nas solicitações de senha do terminal para um servidor remoto.
Além disso, ele baixa e executa um script shell em resposta.
Segundo Kirill Boychenko, pesquisador da Socket Security, “essa atividade explora confusão de namespace e a personificação do sub-repositório legítimo golang.org/x/crypto (e seu espelho no GitHub em github.com/golang/crypto)”.
O projeto oficial identifica go.googlesource.com/crypto como referência principal, tratando o GitHub apenas como espelho.
Essa distinção é explorada pelo atacante para que o repositório malicioso github.com/xinfeisoft/crypto pareça inofensivo em gráficos de dependência.
O backdoor está inserido especificamente no arquivo "ssh/terminal/terminal.go".
Toda vez que uma aplicação vítima chama a função ReadPassword(), que deveria ler senhas de forma segura no terminal, ela captura essas informações sensíveis.
O script baixado atua como stager no Linux: adiciona a chave SSH do invasor em "/home/ubuntu/.ssh/authorized_keys", altera as regras padrão do iptables para ACCEPT, relaxando as restrições do firewall, e baixa payloads adicionais disfarçados com a extensão .mp5.
Entre os dois payloads, um funciona como um helper que verifica a conexão com a internet e tenta se comunicar via TCP na porta 443 com o endereço IP 154.84.63[.]184.
Esse programa provavelmente atua como mecanismo de reconhecimento ou carregamento, explica a Socket.
O segundo payload identificado é o Rekoobe, um trojan para Linux conhecido desde pelo menos 2015, capaz de receber comandos de um servidor controlado pelo invasor para baixar novos arquivos maliciosos, roubar dados e abrir uma shell reversa.
O Rekoobe tem sido utilizado recentemente — em agosto de 2023 — por grupos patrocinados pelo Estado chinês, como o APT31.
Apesar de o pacote malicioso ainda estar listado no repositório oficial pkg.go.dev, a equipe de segurança do Go já adotou medidas para bloqueá-lo.
Boychenko alerta que “essa campanha deve se repetir, pois o padrão exige pouco esforço e traz alto impacto: um módulo parecido com o original que intercepta chamadas críticas (como ReadPassword), usa o GitHub Raw para redirecionamento dinâmico e, em seguida, realiza download e execução de payloads via curl | sh no Linux”.
Ele recomenda que os defensores se preparem para ataques semelhantes na cadeia de suprimentos, focando em bibliotecas que lidam com credenciais (como helpers SSH, prompts de autenticação em CLI e conectores de bancos de dados).
Além disso, alerta para o uso de múltiplas camadas de hospedagem para rotacionar a infraestrutura maliciosa sem a necessidade de republicar o código.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...