Los investigadores de ciberseguridad están alertando sobre una campaña maliciosa en curso que se dirige al ecosistema GO con módulos tipográficos que están diseñados para implementar el malware del cargador en los sistemas Linux y Apple MacOS.
«El actor de amenaza ha publicado al menos siete paquetes que se hacen pasar por bibliotecas GO ampliamente utilizadas, incluida una (Github (.) COM/Shallowmulti/Hypert) que parece apuntar a los desarrolladores del sector financiero», dijo el investigador de Socket Kirill Boychenko en un nuevo informe.
«Estos paquetes comparten nombres de archivos maliciosos repetidos y técnicas consistentes de ofuscación, lo que sugiere un actor de amenaza coordinada capaz de girar rápidamente».
Si bien todos ellos continúan estando disponibles en el repositorio oficial de paquetes, sus repositorios de GitHub correspondientes que salgan «GitHub (.) Com/ornatedoctrin/diseño» ya no son accesibles. La lista de paquetes de GO offensivos está a continuación –
- Shallowmulti/Hypert (github.com/shallowmulti/hypert)
- Shadowybulk/Hypert (github.com/shadowybulk/hypert)
- BeaLatedPlanet/Hypert (github.com/belatedplanet/hypert)
- ADMACIDADA/HYPERT (Github.com/thankfulmai/hypert)
- VainRboot/Layout (github.com/vainreboot/layout)
- ornatedoctrin/diseño (github.com/ornatedoctrin/layout)
- UtilizedSun/Layout (github.com/utilizedsun/Layout)
Los paquetes falsificados, el análisis de Socket encontrado, contienen código para lograr la ejecución del código remoto. Esto se logra ejecutando un comando de shell ofuscado para recuperar y ejecutar un script alojado en un servidor remoto («AltrasArtreet (.) ICU»). En un probable esfuerzo para evadir la detección, el script remoto no se obtiene hasta que haya transcurrido una hora.
El objetivo final del ataque es instalar y ejecutar un archivo ejecutable que pueda robar datos o credenciales.
La divulgación llegó un mes después de que Socket reveló otra instancia de un ataque de cadena de suministro de software dirigido al ecosistema GO a través de un paquete malicioso capaz de otorgar el acceso remoto adversario a los sistemas infectados.
«El uso repetido de nombres de archivo idénticos, la ofuscación de cadenas basado en la matriz y las tácticas de ejecución retrasadas sugieren fuertemente un adversario coordinado que planea persistir y adaptarse», señaló Boychenko.
«El descubrimiento de múltiples paquetes maliciosos de hipert y diseño, junto con múltiples dominios respaldados, apunta a una infraestructura diseñada para la longevidad, lo que permite al actor de amenaza a pivotar cada vez que un dominio o repositorio esté en la lista negra o eliminada».