Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

Малициозен Go Crypto модул краде лозинки, распоредува Rekoobe backdoor

Објавено: 02.03.2026

Истражувачите за сајбер безбедност од Socket објавија детали за малициозен Go модул кој е дизајниран да собира лозинки, да создава постојан пристап преку SSH и да испорачува Linux backdoor наречен Rekoobe.

Go модулот github[.]com/xinfeisoft/crypto се претставува како легитимната „golang.org/x/crypto“ кодна база, но инјектира малициозен код кој е одговорен за извлекување на тајните податоци внесени преку терминалните промпти за лозинки и нивно испраќање до далечна адреса, по што презема shell скрипта и ја извршува.

„Оваа активност одговара на namespace конфузија и имитација на легитимната golang.org/x/crypto потрепозиторија (и нејзиното GitHub огледало github.com/golang/crypto). Легитимниот проект го смета go.googlesource.com/crypto за канонски, а GitHub како огледало – разлика која напаѓачот ја злоупотребува за github.com/xinfeisoft/crypto да изгледа како обична зависност,“ изјави истражувачот Кирил Бојченко.

Конкретно, backdoor-от е сместен во датотеката „ssh/terminal/terminal.go“, така што секогаш кога жртвената апликација ја повикува функцијата ReadPassword() – функција која треба да чита лозинки од терминал – таа ги снима внесените тајни податоци.

Главната задача на преземената скрипта е да функционира како Linux stager: да го додаде SSH клучот на напаѓачот во датотеката „/home/ubuntu/.ssh/authorized_keys“, да ги постави iptables правилата на ACCEPT за да ги олабави firewall ограничувањата и да презема дополнителни payload-и од надворешен сервер, маскирајќи ги со наставката .mp5.

Од двата payload-а, едниот е помошен модул кој тестира интернет конекција и се обидува да комуницира со IP адресата „154.84.63[.]184“ преку TCP порт 443. Програмата веројатно служи за извидување или вчитување дополнителни модули, наведуваат истражувачите.

Вториот преземен payload е проценет како Rekoobe, познат Linux тројанец кој се забележува во реални напади барем од 2015 година. Backdoor-от може да прима команди од сервер контролиран од напаѓачот за да презема дополнителни payload-и, да краде датотеки и да извршува reverse shell. Како што е забележано и во август 2023 година, Rekoobe е користен од кинески државно спонзорирани групи како APT31.

Иако пакетот сè уште е листан на pkg.go.dev, Go безбедносниот тим презел мерки за да ја блокира библиотеката како малициозна.

„Оваа кампања веројатно ќе се повторува бидејќи моделот е со мал напор и висок ефект: модул што имитира легитимна библиотека, ја хука функцијата ReadPassword, користи GitHub Raw како ротирачки показател, а потоа преминува во curl | sh стадирање и испорака на Linux payload,“ изјави Бојченко.

„Одбранбените системи треба да очекуваат слични напади врз синџирот на снабдување кои ќе таргетираат други библиотеки поврзани со акредитиви (SSH помошници, CLI промпти за автентикација, конектори за бази) и поголема индиректност преку хостинг сервиси за ротирање на инфраструктурата без повторно објавување на кодот.“

Извори:

  • The Hacker News – Malicious Go Crypto Module Steals Passwords, Deploys Rekoobe Backdoor The Hacker News