Исследователи в области кибербезопасности обнаружили новую вредоносную кампанию, которая направлена на систему Go. Злоумышленники используют метод подделки, создавая фальшивые модули, которые заражают устройства с операционными системами Linux и macOS.
Эксперты компании Socket нашли семь поддельных пакетов, которые имитируют популярные библиотеки Go. Один из таких пакетов, направленный на финансовый сектор, называется «github[.]com/shallowmulti/hypert». Все эти вредоносные модули используют одинаковые имена файлов и похожие методы зашифровки кода, что указывает на то, что за ними стоит организованная группа злоумышленников.
Хотя эти вредоносные пакеты все еще доступны в официальном репозитории Go, связанные с ними репозитории на GitHub (за исключением «github[.]com/ornatedoctrin/layout») были удалены. Список угроз, обнаруженных в этой кампании, включает:
Специалисты выяснили, что вредоносные модули содержат код, который позволяет удаленно выполнять команды. Для этого используется зашифрованная командная строка, которая загружает и выполняет скрипт с удаленного сервера («alturastreet[.]icu»). Скрипт загружается только через час после запуска, что помогает злоумышленникам избегать обнаружения.
Цель этой атаки — установка вредоносного файла, который может красть данные или учетные данные пользователей.
Эта вредоносная кампания была обнаружена через месяц после того, как исследователи обнаружили аналогичную угрозу, которая предоставляла злоумышленникам удаленный доступ к зараженным системам в экосистеме Go.
Эксперты отмечают, что злоумышленники активно используют одинаковые имена файлов, маскировку строк и отложенную загрузку, что говорит о их намерении оставаться в системе. Наличие нескольких доменов и альтернативных репозиториев показывает, что у них хорошо спланированная инфраструктура, которая позволяет им быстро адаптироваться при блокировке используемых ресурсов.
© KiberSec.ru – 03.04.2025, обновлено 03.04.2025
Перепечатка материалов сайта возможна только с разрешения администрации KiberSec.ru.
