Se hacen pasar por bibliotecas Go ampliamente utilizadas
Investigadores de ciberseguridad están alertando sobre una campaña maliciosa en curso dirigida al ecosistema Go con módulos typosquatted que están diseñados para implementar malware de carga en sistemas Linux y Apple macOS.
"El actor de amenazas ha publicado al menos siete paquetes que se hacen pasar por bibliotecas Go ampliamente utilizadas, incluido uno (github[.]com/shallowmulti/hypert) que parece apuntar a desarrolladores del sector financiero", dijo el investigador de Socket Kirill Boychenko en un nuevo informe.
"Estos paquetes comparten nombres de archivos maliciosos repetidos y técnicas de ofuscación consistentes, lo que sugiere un actor de amenazas coordinado capaz de cambiar de actitud rápidamente".
Si bien todos ellos siguen estando disponibles en el repositorio oficial de paquetes, sus repositorios de GitHub correspondientes, con excepción de "github[.]com/ornatedoctrin/layout", ya no son accesibles. La lista de paquetes Go infractores se encuentra a continuación:
• shallowmulti/hypert (github.com/shallowmulti/hypert)
• shadowybulk/hypert (github.com/shadowybulk/hypert)
• belatedplanet/hypert (github.com/belatedplanet/hypert)
• thankfulmai/hypert (github.com/thankfulmai/hypert)
• vainreboot/layout (github.com/vainreboot/layout)
• ornatedoctrin/layout (github.com/ornatedoctrin/layout)
• utilizedsun/layout (github.com/utilizedsun/layout)
Los paquetes falsificados, según el análisis de Socket, contienen código para lograr la ejecución remota de código. Esto se logra ejecutando un comando de shell ofuscado para recuperar y ejecutar un script alojado en un servidor remoto ("alturastreet[.]icu"). En un probable intento por evadir la detección, el script remoto no se recupera hasta que transcurre una hora.
El objetivo final del ataque es instalar y ejecutar un archivo ejecutable que potencialmente pueda robar datos o credenciales.
La revelación se produjo un mes después de que Socket revelara otro caso de un ataque a la cadena de suministro de software dirigido al ecosistema Go a través de un paquete malicioso capaz de otorgar al adversario acceso remoto a los sistemas infectados.
"El uso repetido de nombres de archivos idénticos, la ofuscación de cadenas basada en matrices y las tácticas de ejecución retrasada sugieren fuertemente un adversario coordinado que planea persistir y adaptarse", señaló Boychenko.
"El descubrimiento de múltiples paquetes de diseño e hipertexto maliciosos, junto con múltiples dominios de respaldo, apunta a una infraestructura diseñada para la longevidad, lo que permite al actor de amenazas cambiar de rumbo cada vez que un dominio o repositorio se incluye en la lista negra o se elimina".
