Linux 시스템을 노리는 악성 Go 암호화 모듈, 비밀번호 탈취 및 Rekoobe 백도어 배포

악성 Go 모듈, 비밀번호 탈취 및 Rekoobe 백도어 배포 확인

사이버 보안 연구진은 터미널 비밀번호를 탈취하고 지속적인 SSH 접근 권한을 확보하며 Rekoobe Linux 백도어를 배포하는 악성 Go 모듈을 발견했다. 이 모듈은 github[.]com/xinfeisoft/crypto에 호스팅되어 있으며, 공식 golang.org/x/crypto 저장소로 위장하지만 실제로는 민감한 데이터를 유출하는 난독화된 코드를 포함하고 있다.

기술적 세부 사항

이 트로이 목마 모듈은 공식 Go 암호화 라이브러리의 신뢰할 수 있는 네임스페이스를 악용해 탐지를 회피한다. 피해자의 환경에 통합되면 다음과 같은 동작을 수행한다:

• 터미널 비밀번호 탈취: SSH 및 sudo 자격 증명 등 표준 입력으로 입력된 비밀번호를 캡처한다.
• 지속적 접근 권한 확보: SSH 설정을 변조하거나 악성 키를 주입해 지속적인 접근 권한을 유지한다.
• Rekoobe 백도어 배포: 스텔스 기능과 원격 명령 실행 기능으로 알려진 경량 Linux 백도어인 Rekoobe를 배포한다.

이 악성 코드는 모듈 소스 내에 삽입되어 있으며, 합법적인 암호화 함수로 위장하면서 백그라운드에서 추가 페이로드를 실행한다.

영향 분석

이 공격은 Go 모듈을 자주 사용하는 개발 및 운영 환경의 Linux 기반 시스템에 상당한 위험을 초래한다. 주요 우려 사항은 다음과 같다:

• 자격 증명 탈취: 탈취된 비밀번호로 공격자가 민감한 시스템, 데이터베이스 또는 클라우드 인프라에 접근할 수 있다.
• 지속적 백도어 접근: Rekoobe는 장기적인 시스템 제어를 가능하게 하며, 데이터 유출이나 내부 네트워크 이동을 용이하게 한다.
• 공급망 위험: 개발자가 악성 모듈을 의도치 않게 다운로드할 경우 프로젝트에 취약점을 도입할 수 있다.

권장 조치

보안 팀은 다음 조치를 통해 위험을 완화해야 한다:

1. 모듈 출처 검증: Go 종속성이 공식 저장소(예: golang.org/x/crypto)에서 유래했는지 감사한다.
2. 의심스러운 활동 모니터링: 터미널 세션에서 비정상적인 SSH 연결 또는 비밀번호 프롬프트를 탐지한다.
3. 탐지 규칙 업데이트: github[.]com/xinfeisoft/crypto 및 Rekoobe와 관련된 지표(Indicators of Compromise, IoC)를 위협 인텔리전스 피드에 통합한다.
4. 감염 시스템 격리: 모듈이 탐지될 경우 영향을 받은 호스트를 격리하고 노출된 자격 증명을 교체한다.

자세한 내용은 The Hacker News의 원본 공지를 참조하라.