Go

Pesquisadores de cibersegurança revelaram um módulo Go malicioso que visa coletar senhas, criar acesso persistente via SSH e instalar um backdoor Linux conhecido como Rekoobe. O módulo, que se disfarça como parte do repositório legítimo ‘golang.org/x/crypto’, injeta código malicioso que exfiltra informações sensíveis inseridas em prompts de senha do terminal para um servidor remoto. Ao ser executado, o código baixa um script que adiciona a chave SSH do invasor ao arquivo ‘authorized_keys’ do usuário, altera as políticas do iptables para aceitar conexões e busca mais cargas úteis disfarçadas com a extensão .mp5. Entre essas cargas, uma é um trojan conhecido, Rekoobe, que permite ao invasor receber comandos e executar ações maliciosas no sistema. O Go security team já tomou medidas para bloquear o módulo, mas a natureza do ataque sugere que campanhas semelhantes podem ocorrer no futuro, visando bibliotecas de alta relevância. Defensores devem estar atentos a ataques de cadeia de suprimentos que possam afetar outras bibliotecas críticas de autenticação e conexão em sistemas Linux.

Pesquisadores de cibersegurança descobriram um módulo Go malicioso que se apresenta como uma ferramenta de brute-force para SSH, mas na verdade exfiltra credenciais para um bot do Telegram controlado pelo criador do malware. Nomeado ‘golang-random-ip-ssh-bruteforce’, o pacote foi publicado em 24 de junho de 2022 e está vinculado a uma conta do GitHub que foi removida, mas ainda está disponível em pkg.go.dev. O módulo escaneia endereços IPv4 aleatórios em busca de serviços SSH expostos na porta TCP 22, tentando logins com uma lista de nomes de usuário e senhas fracas. Após um login bem-sucedido, as credenciais são enviadas para um bot do Telegram. O malware desabilita a verificação de chave do host, permitindo conexões inseguras. A lista de senhas inclui combinações comuns como ‘root’, ‘admin’ e ‘12345678’. O código malicioso opera em um loop infinito, gerando endereços IPv4 e tentando logins simultâneos. O tráfego gerado parece normal, dificultando a detecção por controles de saída. Este incidente destaca a necessidade de vigilância e proteção contra ameaças emergentes na segurança da cadeia de suprimentos de software.

Um novo ataque cibernético sofisticado foi descoberto, visando profissionais de segurança através de um pacote Go malicioso chamado golang-random-ip-ssh-bruteforce. Este pacote, que se disfarça como uma ferramenta legítima de teste de força bruta SSH, exfiltra secretamente credenciais de login bem-sucedidas para um ator de ameaça de língua russa via Telegram. O funcionamento do pacote envolve um loop infinito que gera endereços IPv4 aleatórios e verifica o acesso ao serviço SSH na porta TCP 22. Ao encontrar um servidor SSH acessível, ele tenta autenticações usando uma lista de senhas padrão, desabilitando a verificação de chaves de host, o que permite conexões inseguras. As credenciais roubadas são enviadas para um bot do Telegram, transformando os usuários em coletadores involuntários de dados para operações cibernéticas criminosas. O pacote foi publicado em junho de 2022 por um usuário do GitHub identificado como IllDieAnyway, que é avaliado como um ator de ameaça de língua russa. A recomendação é tratar todas as ferramentas ofensivas de fontes não confiáveis como hostis e implementar controles rigorosos para APIs de mensagens.