Разработчики на Go стали мишенью организованной хакерской группировки
Как отложенное выполнение кода превращает легитимные приложения в бэкдоры.
Исследователи в области кибербезопасности предупреждают о новой вредоносной кампании, нацеленной на экосистему Go. Атакующие используют метод тайпсквоттинга, создавая фальшивые модули, которые внедряют вредоносное ПО на устройства под управлением Linux и macOS.
Эксперты компании Socket обнаружили не менее семи поддельных пакетов, имитирующих популярные библиотеки Go. Один из них, «github[.]com/shallowmulti/hypert», ориентирован на разработчиков в финансовом секторе. Анализ показал, что все вредоносные модули используют повторяющиеся имена файлов и схожие методы обфускации кода, что указывает на организованную группу злоумышленников, способных быстро менять тактику.
Хотя эти вредоносные пакеты по-прежнему доступны в официальном репозитории Go, их связанные GitHub-репозитории (за исключением «github[.]com/ornatedoctrin/layout») были удалены. В список обнаруженных угроз входят:
- shallowmulti/hypert (github.com/shallowmulti/hypert)
- shadowybulk/hypert (github.com/shadowybulk/hypert)
- belatedplanet/hypert (github.com/belatedplanet/hypert)
- thankfulmai/hypert (github.com/thankfulmai/hypert)
- vainreboot/layout (github.com/vainreboot/layout)
- ornatedoctrin/layout (github.com/ornatedoctrin/layout)
- utilizedsun/layout (github.com/utilizedsun/layout)
Специалисты выяснили, что вредоносные модули содержат код, позволяющий выполнить удалённое выполнение команд. Для этого используется обфусцированная командная строка, загружающая и выполняющая скрипт с удалённого сервера («alturastreet[.]icu»). При этом загрузка скрипта происходит только через час после запуска, что помогает атакующим обходить механизмы обнаружения.
Конечная цель атаки — установка исполняемого файла, способного похищать данные или учётные данные пользователей.
Эта вредоносная кампания была выявлена спустя месяц после обнаружения исследователями аналогичной угрозы , когда вредоносный пакет в экосистеме Go обеспечивал злоумышленникам удалённый доступ к заражённым системам.
Эксперты отмечают, что злоумышленники активно используют одинаковые названия файлов, маскировку строк в массивах и отложенную загрузку, что говорит об их намерении сохранить присутствие в системе. Наличие нескольких доменов и альтернативных репозиториев указывает на хорошо спланированную инфраструктуру, позволяющую быстро адаптироваться в случае блокировки используемых ресурсов.