恶意Go加密模块针对Linux系统：窃取密码并植入Rekoobe后门

恶意Go模块窃取凭证并部署Rekoobe后门

网络安全研究人员近日发现一个恶意Go模块，该模块旨在窃取终端密码、建立持久SSH访问并部署Rekoobe Linux后门。该模块托管于github[.]com/xinfeisoft/crypto，伪装成合法的golang.org/x/crypto代码库，但内含混淆代码用于窃取敏感数据。

技术细节

该木马化模块利用官方Go加密库的可信命名空间来规避检测。一旦集成到受害者环境中，它将执行以下操作：

• 捕获终端密码：窃取通过标准输入（如SSH和sudo命令）输入的密码。
• 建立持久访问：通过修改SSH配置或注入恶意密钥实现持久化访问。
• 部署Rekoobe：Rekoobe是一种轻量级Linux后门，以隐蔽性和远程命令执行能力著称。

该恶意代码嵌入在模块的源代码中，伪装成合法的加密功能，同时在后台执行额外的恶意负载。

影响分析

此类攻击对基于Linux的系统构成重大威胁，尤其是在频繁使用Go模块的开发和生产环境中。主要风险包括：

• 凭证窃取：被盗密码可能授予攻击者访问敏感系统、数据库或云基础设施的权限。
• 持久后门访问：Rekoobe使攻击者能够长期控制受感染主机，便于数据窃取或横向移动。
• 供应链风险：开发者在无意中引入恶意模块，可能将漏洞引入其项目中。

防范建议

安全团队应采取以下措施降低风险：

1. 验证模块来源：审计Go依赖项，确保其来自官方代码库（如golang.org/x/crypto）。
2. 监控可疑活动：检测终端会话中异常的SSH连接或密码提示。
3. 更新检测规则：将与github[.]com/xinfeisoft/crypto和Rekoobe相关的威胁指标（IoC）纳入威胁情报源。
4. 隔离受影响系统：若检测到该模块，应隔离受影响主机并轮换暴露的凭证。

更多详情，请参阅The Hacker News的原始披露报告。