ZURÜCK ZU NACHRICHTEN
Eilmeldung

Schädliches Go-Crypto-Modul zielt auf Linux-Systeme mit Passwortdiebstahl und Rekoobe-Backdoor

2 Min. LesezeitQuelle: The Hacker News

Sicherheitsforscher entdecken ein bösartiges Go-Modul, das Terminal-Passwörter stiehlt, SSH-Zugang etabliert und die Linux-Backdoor Rekoobe einsetzt. Erfahren Sie, wie Sie sich schützen.

Schädliches Go-Modul stiehlt Anmeldedaten und installiert Rekoobe-Backdoor

Cybersicherheitsforscher haben ein bösartiges Go-Modul identifiziert, das darauf abzielt, Terminal-Passwörter zu stehlen, persistenten SSH-Zugang zu etablieren und die Rekoobe-Linux-Backdoor einzusetzen. Das Modul, gehostet unter github[.]com/xinfeisoft/crypto, gibt sich als legitimes golang.org/x/crypto-Repository aus, enthält jedoch obfuskierten Code zur Exfiltration sensibler Daten.

Technische Details

Das trojanisierte Modul nutzt den vertrauenswürdigen Namespace der offiziellen Go-Kryptographie-Bibliothek, um der Erkennung zu entgehen. Sobald es in die Umgebung eines Opfers integriert wird, führt es folgende Aktionen aus:

  • Erfasst Terminal-Passwörter, die über die Standardeingabe eingegeben werden, einschließlich SSH- und sudo-Anmeldedaten.
  • Etabliert persistenten Zugang, indem es SSH-Konfigurationen modifiziert oder schädliche Schlüssel injiziert.
  • Setzt Rekoobe ein, eine leichtgewichtige Linux-Backdoor, die für ihre Tarnfähigkeit und Remote-Befehlsausführung bekannt ist.

Der schädliche Code ist in den Quellcode des Moduls eingebettet und tarnt sich als legitime kryptographische Funktionen, während im Hintergrund zusätzliche Payloads ausgeführt werden.

Auswirkungsanalyse

Dieser Angriff stellt ein erhebliches Risiko für Linux-basierte Systeme dar, insbesondere in Entwicklungs- und Produktionsumgebungen, in denen Go-Module häufig verwendet werden. Zu den wichtigsten Bedenken gehören:

  • Passwortdiebstahl: Kompromittierte Anmeldedaten könnten Angreifern Zugang zu sensiblen Systemen, Datenbanken oder Cloud-Infrastrukturen gewähren.
  • Persistenter Backdoor-Zugang: Rekoobe ermöglicht langfristige Kontrolle über infizierte Hosts und erleichtert so Datenexfiltration oder laterale Bewegung.
  • Lieferkettenrisiken: Entwickler, die das schädliche Modul versehentlich einbinden, könnten unwissentlich Schwachstellen in ihre Projekte einführen.

Empfehlungen

Sicherheitsteams sollten folgende Maßnahmen ergreifen, um die Risiken zu mindern:

  1. Quellen von Modulen überprüfen: Go-Abhängigkeiten prüfen, um sicherzustellen, dass sie aus offiziellen Repositories stammen (z. B. golang.org/x/crypto).
  2. Auf verdächtige Aktivitäten überwachen: Ungewöhnliche SSH-Verbindungen oder Passwortabfragen in Terminal-Sitzungen erkennen.
  3. Erkennungsregeln aktualisieren: Indikatoren für Kompromittierungen (IoCs), die mit github[.]com/xinfeisoft/crypto und Rekoobe in Verbindung stehen, in Threat-Intelligence-Feeds integrieren.
  4. Betroffene Systeme isolieren: Falls das Modul entdeckt wird, betroffene Hosts unter Quarantäne stellen und exponierte Anmeldedaten rotieren.

Weitere Details finden Sie in der ursprünglichen Veröffentlichung von The Hacker News.

Teilen

TwitterLinkedIn