Ssh

Pesquisadores de cibersegurança descobriram um módulo Go malicioso que se apresenta como uma ferramenta de brute-force para SSH, mas na verdade exfiltra credenciais para um bot do Telegram controlado pelo criador do malware. Nomeado ‘golang-random-ip-ssh-bruteforce’, o pacote foi publicado em 24 de junho de 2022 e está vinculado a uma conta do GitHub que foi removida, mas ainda está disponível em pkg.go.dev. O módulo escaneia endereços IPv4 aleatórios em busca de serviços SSH expostos na porta TCP 22, tentando logins com uma lista de nomes de usuário e senhas fracas. Após um login bem-sucedido, as credenciais são enviadas para um bot do Telegram. O malware desabilita a verificação de chave do host, permitindo conexões inseguras. A lista de senhas inclui combinações comuns como ‘root’, ‘admin’ e ‘12345678’. O código malicioso opera em um loop infinito, gerando endereços IPv4 e tentando logins simultâneos. O tráfego gerado parece normal, dificultando a detecção por controles de saída. Este incidente destaca a necessidade de vigilância e proteção contra ameaças emergentes na segurança da cadeia de suprimentos de software.

Um novo ataque cibernético sofisticado foi descoberto, visando profissionais de segurança através de um pacote Go malicioso chamado golang-random-ip-ssh-bruteforce. Este pacote, que se disfarça como uma ferramenta legítima de teste de força bruta SSH, exfiltra secretamente credenciais de login bem-sucedidas para um ator de ameaça de língua russa via Telegram. O funcionamento do pacote envolve um loop infinito que gera endereços IPv4 aleatórios e verifica o acesso ao serviço SSH na porta TCP 22. Ao encontrar um servidor SSH acessível, ele tenta autenticações usando uma lista de senhas padrão, desabilitando a verificação de chaves de host, o que permite conexões inseguras. As credenciais roubadas são enviadas para um bot do Telegram, transformando os usuários em coletadores involuntários de dados para operações cibernéticas criminosas. O pacote foi publicado em junho de 2022 por um usuário do GitHub identificado como IllDieAnyway, que é avaliado como um ator de ameaça de língua russa. A recomendação é tratar todas as ferramentas ofensivas de fontes não confiáveis como hostis e implementar controles rigorosos para APIs de mensagens.