Pesquisadores de cibersegurança descobriram um módulo Go malicioso que se apresenta como uma ferramenta de brute-force para SSH, mas na verdade exfiltra credenciais para um bot do Telegram controlado pelo criador do malware. Nomeado ‘golang-random-ip-ssh-bruteforce’, o pacote foi publicado em 24 de junho de 2022 e está vinculado a uma conta do GitHub que foi removida, mas ainda está disponível em pkg.go.dev. O módulo escaneia endereços IPv4 aleatórios em busca de serviços SSH expostos na porta TCP 22, tentando logins com uma lista de nomes de usuário e senhas fracas. Após um login bem-sucedido, as credenciais são enviadas para um bot do Telegram. O malware desabilita a verificação de chave do host, permitindo conexões inseguras. A lista de senhas inclui combinações comuns como ‘root’, ‘admin’ e ‘12345678’. O código malicioso opera em um loop infinito, gerando endereços IPv4 e tentando logins simultâneos. O tráfego gerado parece normal, dificultando a detecção por controles de saída. Este incidente destaca a necessidade de vigilância e proteção contra ameaças emergentes na segurança da cadeia de suprimentos de software.
Fonte: https://thehackernews.com/2025/08/malicious-go-module-poses-as-ssh-brute.html
⚠️BR DEFENSE CENTER: SECURITY BRIEFING
24/08/2025 • Risco: ALTO
MALWARE
Módulo Go malicioso exfiltra credenciais via bot do Telegram
RESUMO EXECUTIVO
O módulo Go malicioso representa uma ameaça significativa, pois permite a exfiltração de credenciais de acesso SSH, potencialmente comprometendo sistemas críticos. A natureza do ataque e o uso de um bot do Telegram para comunicação dificultam a detecção e mitigação, exigindo atenção imediata das equipes de segurança.
💼 IMPACTO DE NEGÓCIO
Financeiro
Possíveis perdas financeiras devido a acessos não autorizados e compromissos de dados.
Operacional
Exfiltração de credenciais de acesso SSH para um bot controlado por um ator de ameaça.
Setores vulneráveis
['Tecnologia da Informação', 'Serviços Financeiros', 'Setor Público']
📊 INDICADORES CHAVE
O módulo tenta logins com 10 senhas comuns.
Indicador
O tráfego gerado parece normal, dificultando a detecção.
Contexto BR
O bot do Telegram é utilizado para receber credenciais exfiltradas.
Urgência
⚡ AÇÕES IMEDIATAS
1
Verificar logs de acesso SSH e identificar tentativas de login suspeitas.
2
Implementar autenticação de dois fatores (2FA) para acessos SSH e revisar políticas de segurança.
3
Monitorar tráfego de saída para detectar comunicações com bots do Telegram.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a segurança das credenciais e a proteção contra ataques de força bruta que podem comprometer sistemas críticos.
⚖️ COMPLIANCE
Implicações para a LGPD, especialmente em relação à proteção de dados pessoais e segurança da informação.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).
