VOLVER A NOTICIAS
Última Hora

Módulo Malicioso en Go Roba Contraseñas y Despliega la Puerta Trasera Rekoobe en Linux

2 min de lecturaFuente: The Hacker News

Investigadores descubren un módulo malicioso en Go que roba credenciales de terminal, establece acceso SSH persistente y despliega el backdoor Rekoobe en sistemas Linux.

Módulo Malicioso en Go Exfiltra Credenciales y Despliega la Puerta Trasera Rekoobe

Investigadores en ciberseguridad han identificado un módulo malicioso escrito en Go, diseñado para robar contraseñas de terminal, establecer acceso persistente mediante SSH y desplegar el backdoor Rekoobe en sistemas Linux. El módulo, alojado en github[.]com/xinfeisoft/crypto, se hace pasar por el repositorio legítimo golang.org/x/crypto, pero contiene código ofuscado para exfiltrar datos sensibles.

Detalles Técnicos

El módulo troyanizado aprovecha el espacio de nombres confiable de la biblioteca oficial de criptografía de Go para evadir la detección. Una vez integrado en el entorno de la víctima, realiza las siguientes acciones:

  • Captura contraseñas de terminal ingresadas mediante entrada estándar, incluyendo credenciales de SSH y sudo.
  • Establece acceso persistente modificando configuraciones de SSH o inyectando claves maliciosas.
  • Despliega Rekoobe, un backdoor ligero para Linux conocido por su sigilo y capacidades de ejecución remota de comandos.

El código malicioso está incrustado dentro del código fuente del módulo, disfrazándose como funciones criptográficas legítimas mientras ejecuta payloads adicionales en segundo plano.

Análisis de Impacto

Este ataque representa riesgos significativos para sistemas basados en Linux, especialmente en entornos de desarrollo y producción donde los módulos de Go son frecuentemente utilizados. Las principales preocupaciones incluyen:

  • Robo de credenciales: Contraseñas comprometidas podrían otorgar a los atacantes acceso a sistemas sensibles, bases de datos o infraestructura en la nube.
  • Acceso persistente mediante backdoor: Rekoobe permite el control a largo plazo de hosts infectados, facilitando la exfiltración de datos o el movimiento lateral.
  • Riesgos en la cadena de suministro: Desarrolladores que descarguen inadvertidamente el módulo malicioso podrían introducir vulnerabilidades en sus proyectos sin saberlo.

Recomendaciones

Los equipos de seguridad deben tomar las siguientes medidas para mitigar los riesgos:

  1. Verificar fuentes de módulos: Auditar las dependencias de Go para asegurarse de que provengan de repositorios oficiales (ej. golang.org/x/crypto).
  2. Monitorear actividad sospechosa: Detectar conexiones SSH inusuales o solicitudes de contraseñas en sesiones de terminal.
  3. Actualizar reglas de detección: Incorporar indicadores de compromiso (IoCs) asociados con github[.]com/xinfeisoft/crypto y Rekoobe en feeds de inteligencia de amenazas.
  4. Aislar sistemas afectados: Si se detecta el módulo, poner en cuarentena los hosts comprometidos y rotar las credenciales expuestas.

Para más detalles, consulte la divulgación original en The Hacker News.

Compartir

TwitterLinkedIn