Pesquisadores de cibersegurança revelaram um módulo Go malicioso que visa coletar senhas, criar acesso persistente via SSH e instalar um backdoor Linux conhecido como Rekoobe. O módulo, que se disfarça como parte do repositório legítimo ‘golang.org/x/crypto’, injeta código malicioso que exfiltra informações sensíveis inseridas em prompts de senha do terminal para um servidor remoto. Ao ser executado, o código baixa um script que adiciona a chave SSH do invasor ao arquivo ‘authorized_keys’ do usuário, altera as políticas do iptables para aceitar conexões e busca mais cargas úteis disfarçadas com a extensão .mp5. Entre essas cargas, uma é um trojan conhecido, Rekoobe, que permite ao invasor receber comandos e executar ações maliciosas no sistema. O Go security team já tomou medidas para bloquear o módulo, mas a natureza do ataque sugere que campanhas semelhantes podem ocorrer no futuro, visando bibliotecas de alta relevância. Defensores devem estar atentos a ataques de cadeia de suprimentos que possam afetar outras bibliotecas críticas de autenticação e conexão em sistemas Linux.
Fonte: https://thehackernews.com/2026/02/malicious-go-crypto-module-steals.html
⚠️BR DEFENSE CENTER: SECURITY BRIEFING
27/02/2026 • Risco: ALTO
MALWARE
Módulo Go malicioso coleta senhas e instala backdoor em Linux
RESUMO EXECUTIVO
O incidente destaca a vulnerabilidade de sistemas que dependem de bibliotecas de código aberto, onde a injeção de código malicioso pode levar a sérios compromissos de segurança. A capacidade do Rekoobe de receber comandos e executar ações maliciosas aumenta o risco de exploração em ambientes corporativos.
💼 IMPACTO DE NEGÓCIO
Financeiro
Possíveis perdas financeiras devido a vazamentos de dados e interrupções operacionais.
Operacional
Roubo de senhas e instalação de backdoor em sistemas afetados.
Setores vulneráveis
['Tecnologia da Informação', 'Financeiro', 'Educação']
📊 INDICADORES CHAVE
Rekoobe detectado em uso por grupos de estado-nação desde 2015.
Indicador
IP comprometido identificado: 154.84.63.184.
Contexto BR
Módulo malicioso ainda listado no pkg.go.dev antes da mitigação.
Urgência
⚡ AÇÕES IMEDIATAS
1
Verificar dependências de módulos Go e identificar qualquer uso do módulo comprometido.
2
Remover o módulo malicioso e aplicar patches de segurança disponíveis.
3
Monitorar atividades de rede para detectar comunicações com IPs suspeitos.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a segurança de suas infraestruturas, especialmente em relação a bibliotecas de código aberto amplamente utilizadas que podem ser alvos de ataques.
⚖️ COMPLIANCE
Implicações legais relacionadas à proteção de dados sob a LGPD.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).
