Linuxシステムを標的とする悪意あるGo暗号モジュール：パスワード窃取とRekoobeバックドア

悪意あるGoモジュールが認証情報を窃取し、Rekoobeバックドアを展開

サイバーセキュリティ研究者は、端末パスワードの収集、永続的なSSHアクセスの確立、およびRekoobe Linuxバックドアを展開するように設計された悪意あるGoモジュールを特定しました。このモジュールは、github[.]com/xinfeisoft/cryptoにホストされており、正規のgolang.org/x/cryptoリポジトリを装っていますが、難読化されたコードにより機密データを流出させます。

技術的詳細

このトロイの木馬化されたモジュールは、公式のGo暗号化ライブラリの信頼できる名前空間を悪用して検出を回避します。被害者の環境に組み込まれると、次の動作を行います：

• 端末パスワードのキャプチャ：SSHやsudo認証情報など、標準入力を通じて入力されたパスワードを収集。
• 永続的なアクセスの確立：SSH設定の変更や悪意ある鍵の挿入により、持続的なアクセスを確保。
• Rekoobeの展開：ステルス性とリモートコマンド実行機能で知られる軽量なLinuxバックドアを展開。

この悪意あるコードは、モジュールのソース内に埋め込まれており、正規の暗号化関数を装いながら、バックグラウンドで追加のペイロードを実行します。

影響分析

この攻撃は、Goモジュールが頻繁に使用される開発環境や本番環境のLinuxベースシステムに重大なリスクをもたらします。主な懸念事項は以下の通りです：

• 認証情報の窃取：侵害されたパスワードにより、攻撃者が機密システム、データベース、またはクラウドインフラにアクセスする可能性。
• 永続的なバックドアアクセス：Rekoobeは感染ホストの長期的な制御を可能にし、データ流出や横方向の移動を助長。
• サプライチェーンリスク：開発者が悪意あるモジュールを誤って取り込むことで、プロジェクトに意図せず脆弱性を導入する可能性。

推奨対策

セキュリティチームは、リスクを軽減するために以下の対策を講じるべきです：

1. モジュールソースの検証：Goの依存関係を監査し、公式リポジトリ（例：golang.org/x/crypto）からのものであることを確認。
2. 不審な活動の監視：端末セッションでの異常なSSH接続やパスワードプロンプトを検出。
3. 検出ルールの更新：github[.]com/xinfeisoft/cryptoおよびRekoobeに関連する侵害指標（IoC）を脅威インテリジェンスフィードに組み込む。
4. 影響を受けたシステムの隔離：モジュールが検出された場合、影響を受けたホストを隔離し、露出した認証情報をローテーション。

詳細については、The Hacker Newsの元記事を参照してください。