Los investigadores de ciberseguridad han descubierto un conjunto de 11 paquetes de GO maliciosos que están diseñados para descargar cargas útiles adicionales de servidores remotos y ejecutarlos en los sistemas de Windows y Linux.
«En tiempo de ejecución, el código genera silenciosamente un caparazón, extrae una carga útil de la segunda etapa de un conjunto intercambiable de puntos finales .icu y .tech de comando y control (C2) y la ejecuta en la memoria», dijo la investigadora de seguridad Olivia Brown.
La lista de paquetes identificados está a continuación –
- github.com/stripedconsu/linker
- github.com/agitatedleopa/stm
- github.com/expertsandba/opt
- github.com/wetteepee/hcloud-ip-floater
- github.com/weightycine/replika
- github.com/ordinarymea/tnsr_ids
- github.com/ordinarymea/tnsr_ids
- github.com/cavernouskina/mcp-go
- github.com/lastnymph/gouid
- github.com/sinfulsky/gouid
- github.com/briefinitia/gouid
Los paquetes ocultan un cargador ofuscado que alberga la funcionalidad para obtener binarios de ELF y ejecutables portátiles (PE) de la segunda etapa, que, a su vez, pueden recopilar información del host, acceder a los datos del navegador web y Beacon a su servidor C2.
«Debido a que la carga útil de la segunda etapa ofrece una carga útil de Linux scripted para los sistemas Linux y recupera los ejecutables de Windows a través de CertUtil.exe, tanto los servidores de compilación de Linux como las estaciones de trabajo de Windows son susceptibles al compromiso», dijo Brown.
La complicación de las cosas es la naturaleza descentralizada del ecosistema GO, que permite que los módulos se importen directamente de los repositorios de GitHub, lo que causa una confusión significativa de desarrolladores cuando busca un paquete en PKG.GO.DEV puede devolver varios módulos con nombre similar, aunque no pueden ser necesariamente de naturaleza maliciosa.
«Los atacantes explotan la confusión, elaborando cuidadosamente sus espacios de nombres de módulos maliciosos para parecer confiables de un vistazo, aumentando significativamente la probabilidad de los desarrolladores inadvertidamente integran el código destructivo en sus proyectos», dijo Socket.
Se evalúa que los paquetes son obra de un actor de una sola amenaza debido a la reutilización de C2 y al formato del código. Los hallazgos subrayan los continuos riesgos de la cadena de suministro que surgen de la naturaleza multiplataforma de ir a malware.
El desarrollo coincide con el descubrimiento de dos paquetes NPM, Naya-Flore y NVLore-HSC, que se disfrazan de las bibliotecas de Socket de WhatsApp al tiempo que incorpora un interruptor de asesinato basado en el número de teléfono que puede borrar los sistemas de desarrolladores de forma remota.
Los paquetes, que se han descargado colectivamente en más de 1,110 descargas, continúan disponibles en el registro de NPM a partir de la escritura. Ambas bibliotecas fueron publicadas por un usuario llamado «Nayflore» a principios de julio de 2025.
Central de sus operaciones es su capacidad para recuperar una base de datos remota de números de teléfono indonesios de un repositorio de GitHub. Una vez que se ejecuta el paquete, primero verifica si el teléfono actual está en la base de datos y, si no, procede a eliminar recursivamente todos los archivos utilizando el comando «RM -RF *» después de un proceso de emparejamiento de WhatsApp.
También se ha encontrado que los paquetes contienen una función para exfiltrar la información del dispositivo a un punto final externo, pero se han comentado llamadas a la función, lo que sugiere que el actor de amenaza detrás del esquema está señalando el desarrollo continuo.
«Naya-Flore también contiene un token de acceso personal GitHub codificado que proporciona acceso no autorizado a repositorios privados», dijo el investigador de seguridad Kush Pandya. «El propósito de este token sigue sin estar claro con el código disponible».
«La presencia de un token GitHub no utilizado podría indicar un desarrollo incompleto, una funcionalidad planificada que nunca se implementó o el uso en otras partes de la base de código no incluida en estos paquetes».
Los repositorios de código abierto continúan siendo un atractivo canal de distribución de malware en las cadenas de suministro de software, con los paquetes diseñados para robar información confidencial e incluso dirigirse a billeteras de criptomonedas en algunos casos.
«Si bien las tácticas generales no han evolucionado significativamente, los atacantes continúan dependiendo de técnicas probadas, como minimizar el recuento de archivos, usar scripts de instalación y emplear métodos discretos de exfiltración de datos que maximizan el impacto», dijo Fortinet Fortiguard Labs.
«Un aumento continuo de la ofuscación también señala aún más la importancia de la vigilancia y el monitoreo continuo requerido por los usuarios de estos servicios. Y a medida que OSS continúa creciendo, también lo hará la superficie de ataque para las amenazas de la cadena de suministro».