Pesquisadores de cibersegurança descobriram um conjunto de 11 pacotes Go maliciosos projetados para baixar payloads adicionais de servidores remotos e executá-las em sistemas Windows e Linux.
"No momento da execução, o código gera silenciosamente um shell, puxa um payload secundário de um conjunto intercambiável de endpoints de comando e controle (C2) .icu e .tech, e executa-o na memória", disse a pesquisadora de segurança da Socket, Olivia Brown.
A lista dos pacotes identificados está abaixo:
- github.com/stripedconsu/linker
- github.com/agitatedleopa/stm
- github.com/expertsandba/opt
- github.com/wetteepee/hcloud-ip-floater
- github.com/weightycine/replika
- github.com/ordinarymea/tnsr_ids
- github.com/ordinarymea/TNSR_IDS
- github.com/cavernouskina/mcp-go
- github.com/lastnymph/gouid
- github.com/sinfulsky/gouid
- github.com/briefinitia/gouid
Os pacotes escondem um carregador ofuscado que possui funcionalidade para buscar binários ELF e executáveis portáteis (PE) em segunda fase, que, por sua vez, podem coletar informações do host, acessar dados do navegador web e enviar sinais ao seu servidor C2.
"Como o payload secundário entrega um payload scriptado em bash para sistemas Linux e recupera executáveis Windows via certutil.exe, tanto servidores de build Linux quanto estações de trabalho Windows estão suscetíveis a comprometimentos", disse Brown.
Complicando a situação está a natureza descentralizada do ecossistema Go, que permite que módulos sejam importados diretamente de repositórios GitHub, causando significativa confusão entre os desenvolvedores quando buscas por um pacote em pkg.go.dev podem retornar vários módulos com nomes similares, embora eles nem sempre sejam maliciosos por natureza.
"Atacantes exploram a confusão, criando meticulosamente seus namespaces de módulo maliciosos para parecerem confiáveis à primeira vista, aumentando significativamente a probabilidade de os desenvolvedores integrarem inadvertidamente código destrutivo em seus projetos", disse a Socket.
Avalia-se que os pacotes são obra de um único ator de ameaças devido à reutilização de C2 e ao formato do código.
Os achados enfatizam os riscos contínuos na cadeia de suprimentos decorrentes da natureza multiplataforma do Go para disseminar malware.
O desenvolvimento coincide com a descoberta de dois pacotes npm, naya-flore e nvlore-hsc, que se passam por bibliotecas de sockets do WhatsApp enquanto incorporam um kill switch baseado em números de telefone que pode apagar remotamente os sistemas dos desenvolvedores.
Os pacotes, que foram coletivamente baixados mais de 1.110 vezes, continuam disponíveis no registro npm até o momento deste relato.
Ambas as bibliotecas foram publicadas por um usuário chamado "nayflore" no início de julho de 2025.
Central para suas operações é a capacidade de recuperar um banco de dados remoto de números de telefone indonésios de um repositório GitHub.
Uma vez executado o pacote, ele primeiro verifica se o telefone atual está no banco de dados e, se não estiver, prossegue para deletar todos os arquivos recursivamente usando o comando "rm -rf *" seguindo um processo de pareamento do WhatsApp.
Os pacotes também foram encontrados para conter uma função para exfiltrar informações do dispositivo para um endpoint externo, mas chamadas para a função foram comentadas, sugerindo que o ator de ameaça por trás do esquema está sinalizando um desenvolvimento em andamento.
"naya-flore também contém um GitHub Personal Access Token codificado que fornece acesso não autorizado a repositórios privados", disse o pesquisador de segurança Kush Pandya.
O propósito deste token permanece incerto a partir do código disponível.
A presença de um token GitHub não utilizado poderia indicar desenvolvimento incompleto, funcionalidade planejada que nunca foi implementada ou uso em outras partes do código-base não incluídas nestes pacotes.
Repositórios de código aberto continuam a ser um canal de distribuição de malware atraente nas cadeias de suprimentos de software, com pacotes projetados para roubar informações sensíveis e até mesmo visando carteiras de criptomoedas em alguns casos.
"Embora as táticas gerais não tenham evoluído significativamente, os atacantes continuam a contar com técnicas comprovadas, como minimizar a contagem de arquivos, usar scripts de instalação e empregar métodos discretos de exfiltração de dados que maximizam o impacto", disse o Fortinet FortiGuard Labs.
Um aumento contínuo em ofuscação também destaca ainda mais a importância da vigilância e do monitoramento contínuo exigidos pelos usuários desses serviços.
E à medida que o OSS continua a crescer, o mesmo acontecerá com a superfície de ataque para ameaças na cadeia de suprimentos.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...