НАЗАД К НОВОСТЯМ
Срочные новости

Вредоносный Go-модуль атакует Linux-системы: кража паролей и бэкдор Rekoobe

2 мин чтенияИсточник: The Hacker News

Исследователи обнаружили вредоносный Go-модуль, похищающий пароли из терминала и внедряющий бэкдор Rekoobe. Узнайте, как защититься от угрозы.

Вредоносный Go-модуль похищает учётные данные и внедряет бэкдор Rekoobe

Специалисты по кибербезопасности выявили вредоносный Go-модуль, предназначенный для кражи паролей из терминала, установки постоянного SSH-доступа и развёртывания Linux-бэкдора Rekoobe. Модуль, размещённый по адресу github[.]com/xinfeisoft/crypto, маскируется под легитимный репозиторий golang.org/x/crypto, но содержит обфусцированный код для эксфильтрации конфиденциальных данных.

Технические детали

Троянизированный модуль использует доверенное пространство имён официальной криптографической библиотеки Go для обхода обнаружения. После интеграции в среду жертвы он выполняет следующие действия:

  • Похищает пароли из терминала, введённые через стандартный ввод, включая учётные данные SSH и sudo.
  • Обеспечивает постоянный доступ, изменяя конфигурации SSH или внедряя вредоносные ключи.
  • Развёртывает Rekoobe — лёгкий Linux-бэкдор, известный своей скрытностью и возможностями удалённого выполнения команд.

Вредоносный код встроен в исходный код модуля, маскируясь под легитимные криптографические функции, но при этом выполняет дополнительные вредоносные действия в фоновом режиме.

Анализ последствий

Эта атака представляет серьёзную угрозу для Linux-систем, особенно в средах разработки и продакшена, где активно используются Go-модули. Основные риски включают:

  • Кража учётных данных: скомпрометированные пароли могут предоставить злоумышленникам доступ к критически важным системам, базам данных или облачной инфраструктуре.
  • Постоянный бэкдорный доступ: Rekoobe позволяет контролировать заражённые хосты в долгосрочной перспективе, что облегчает эксфильтрацию данных или горизонтальное перемещение по сети.
  • Риски цепочки поставок: разработчики, неосознанно подключающие вредоносный модуль, могут внедрить уязвимости в свои проекты.

Рекомендации

Командам безопасности следует предпринять следующие шаги для снижения рисков:

  1. Проверяйте источники модулей: проводите аудит зависимостей Go, чтобы убедиться в их происхождении из официальных репозиториев (например, golang.org/x/crypto).
  2. Мониторьте подозрительную активность: отслеживайте необычные SSH-подключения или запросы паролей в терминальных сессиях.
  3. Обновляйте правила обнаружения: включайте индикаторы компрометации (IoC), связанные с github[.]com/xinfeisoft/crypto и Rekoobe, в каналы угроз.
  4. Изолируйте поражённые системы: при обнаружении модуля изолируйте затронутые хосты и смените скомпрометированные учётные данные.

Дополнительные сведения можно найти в оригинальном отчёте The Hacker News.

Поделиться

TwitterLinkedIn