Go

Ataque de Cadeia de Suprimentos Utiliza Pacotes npm e Go para Roubo de Dados

Pesquisadores de cibersegurança descobriram pacotes npm e Go sequestrados que implantam um infostealer baseado em Python em sistemas Windows, Linux e macOS. O ataque, identificado pela JFrog, utiliza uma tarefa oculta do Visual Studio Code (VS Code) chamada ’eslint-check’, que é ativada automaticamente ao abrir a pasta do projeto. O malware se conecta a uma infraestrutura controlada por atacantes, lançando um backdoor Socket.io e, em seguida, um infostealer Python. Os pacotes npm afetados, ‘html-to-gutenberg’ e ‘fetch-page-assets’, foram enviados ao registro npm em 25 de maio de 2026 e já foram removidos. Além disso, 16 pacotes Go também foram comprometidos, com a maioria sendo pacotes legítimos que incluíam o malware. O infostealer é capaz de roubar credenciais de navegadores, carteiras de criptomoedas e informações de desenvolvedores. Os usuários que instalaram esses pacotes devem removê-los imediatamente e revisar suas credenciais. O ataque é atribuído a uma campanha conhecida como ‘Fake Font’, que visa desenvolvedores por meio de processos de entrevistas fraudulentos.

Evolução de ataques à cadeia de suprimentos compromete pacotes npm

Pesquisadores em cibersegurança identificaram uma nova evolução dos ataques à cadeia de suprimentos, associada às famílias de malware Mini Shai-Hulud, Miasma e Hades, que comprometeram pacotes npm e se espalharam para o ecossistema Go. Os ataques recentes afetaram pacotes como LeoPlatform e RStreams, além de abusos em fluxos de trabalho do GitHub Actions e compromissos relacionados ao projeto Verana Blockchain. O objetivo principal é roubar credenciais de desenvolvedores e mantenedores, utilizando dados roubados para se infiltrar em repositórios e fluxos de trabalho confiáveis.

Módulo Go malicioso coleta senhas e instala backdoor em Linux

Pesquisadores de cibersegurança revelaram um módulo Go malicioso que visa coletar senhas, criar acesso persistente via SSH e instalar um backdoor Linux conhecido como Rekoobe. O módulo, que se disfarça como parte do repositório legítimo ‘golang.org/x/crypto’, injeta código malicioso que exfiltra informações sensíveis inseridas em prompts de senha do terminal para um servidor remoto. Ao ser executado, o código baixa um script que adiciona a chave SSH do invasor ao arquivo ‘authorized_keys’ do usuário, altera as políticas do iptables para aceitar conexões e busca mais cargas úteis disfarçadas com a extensão .mp5. Entre essas cargas, uma é um trojan conhecido, Rekoobe, que permite ao invasor receber comandos e executar ações maliciosas no sistema. O Go security team já tomou medidas para bloquear o módulo, mas a natureza do ataque sugere que campanhas semelhantes podem ocorrer no futuro, visando bibliotecas de alta relevância. Defensores devem estar atentos a ataques de cadeia de suprimentos que possam afetar outras bibliotecas críticas de autenticação e conexão em sistemas Linux.

Módulo Go malicioso exfiltra credenciais via bot do Telegram

Pesquisadores de cibersegurança descobriram um módulo Go malicioso que se apresenta como uma ferramenta de brute-force para SSH, mas na verdade exfiltra credenciais para um bot do Telegram controlado pelo criador do malware. Nomeado ‘golang-random-ip-ssh-bruteforce’, o pacote foi publicado em 24 de junho de 2022 e está vinculado a uma conta do GitHub que foi removida, mas ainda está disponível em pkg.go.dev. O módulo escaneia endereços IPv4 aleatórios em busca de serviços SSH expostos na porta TCP 22, tentando logins com uma lista de nomes de usuário e senhas fracas. Após um login bem-sucedido, as credenciais são enviadas para um bot do Telegram. O malware desabilita a verificação de chave do host, permitindo conexões inseguras. A lista de senhas inclui combinações comuns como ‘root’, ‘admin’ e ‘12345678’. O código malicioso opera em um loop infinito, gerando endereços IPv4 e tentando logins simultâneos. O tráfego gerado parece normal, dificultando a detecção por controles de saída. Este incidente destaca a necessidade de vigilância e proteção contra ameaças emergentes na segurança da cadeia de suprimentos de software.

Módulo Go vinculado ao Telegram se torna ferramenta de força bruta SSH

Um novo ataque cibernético sofisticado foi descoberto, visando profissionais de segurança através de um pacote Go malicioso chamado golang-random-ip-ssh-bruteforce. Este pacote, que se disfarça como uma ferramenta legítima de teste de força bruta SSH, exfiltra secretamente credenciais de login bem-sucedidas para um ator de ameaça de língua russa via Telegram. O funcionamento do pacote envolve um loop infinito que gera endereços IPv4 aleatórios e verifica o acesso ao serviço SSH na porta TCP 22. Ao encontrar um servidor SSH acessível, ele tenta autenticações usando uma lista de senhas padrão, desabilitando a verificação de chaves de host, o que permite conexões inseguras. As credenciais roubadas são enviadas para um bot do Telegram, transformando os usuários em coletadores involuntários de dados para operações cibernéticas criminosas. O pacote foi publicado em junho de 2022 por um usuário do GitHub identificado como IllDieAnyway, que é avaliado como um ator de ameaça de língua russa. A recomendação é tratar todas as ferramentas ofensivas de fontes não confiáveis como hostis e implementar controles rigorosos para APIs de mensagens.