VOLTAR ÀS NOTÍCIAS
Última Hora

Módulo Malicioso em Go Visa Sistemas Linux com Roubo de Senhas e Backdoor Rekoobe

2 min de leituraFonte: The Hacker News

Pesquisadores identificam módulo Go malicioso que rouba senhas de terminal, estabelece acesso SSH persistente e implanta o backdoor Rekoobe em sistemas Linux. Saiba como se proteger.

Módulo Malicioso em Go Exfiltra Credenciais e Implanta Backdoor Rekoobe

Pesquisadores de cibersegurança identificaram um módulo malicioso escrito em Go, projetado para coletar senhas de terminal, estabelecer acesso persistente via SSH e implantar o backdoor Rekoobe em sistemas Linux. O módulo, hospedado em github[.]com/xinfeisoft/crypto, se passa pelo repositório legítimo golang.org/x/crypto, mas contém código ofuscado para exfiltrar dados sensíveis.

Detalhes Técnicos

O módulo trojanizado aproveita o namespace confiável da biblioteca oficial de criptografia do Go para evitar detecção. Uma vez integrado ao ambiente da vítima, ele:

  • Captura senhas de terminal inseridas via entrada padrão, incluindo credenciais de SSH e sudo.
  • Estabelece acesso persistente modificando configurações de SSH ou injetando chaves maliciosas.
  • Implanta o Rekoobe, um backdoor leve para Linux conhecido por sua discrição e capacidade de execução remota de comandos.

O código malicioso está embutido no código-fonte do módulo, disfarçando-se como funções criptográficas legítimas enquanto executa payloads adicionais em segundo plano.

Análise de Impacto

Este ataque representa riscos significativos para sistemas baseados em Linux, especialmente em ambientes de desenvolvimento e produção onde módulos Go são frequentemente utilizados. As principais preocupações incluem:

  • Roubo de credenciais: Senhas comprometidas podem conceder aos atacantes acesso a sistemas sensíveis, bancos de dados ou infraestrutura em nuvem.
  • Acesso persistente via backdoor: O Rekoobe permite controle de longo prazo sobre hosts infectados, facilitando a exfiltração de dados ou movimentação lateral.
  • Riscos na cadeia de suprimentos: Desenvolvedores que inadvertidamente puxam o módulo malicioso podem introduzir vulnerabilidades em seus projetos sem saber.

Recomendações

Equipes de segurança devem adotar as seguintes medidas para mitigar os riscos:

  1. Verificar fontes dos módulos: Auditar dependências do Go para garantir que sejam provenientes de repositórios oficiais (ex.: golang.org/x/crypto).
  2. Monitorar atividades suspeitas: Detectar conexões SSH incomuns ou prompts de senha em sessões de terminal.
  3. Atualizar regras de detecção: Incorporar indicadores de comprometimento (IoCs) associados a github[.]com/xinfeisoft/crypto e ao Rekoobe em feeds de inteligência contra ameaças.
  4. Isolar sistemas afetados: Se o módulo for detectado, colocar hosts impactados em quarentena e rotacionar credenciais expostas.

Para mais detalhes, consulte a divulgação original no The Hacker News.

Compartilhar

TwitterLinkedIn