Кибератака через Go: угроза для Linux и macOS

Исследователи из Socket выявили продолжающуюся кампанию, использующую экосистему языка программирования Go. Злоумышленники создают пакеты с опечатками, которые устанавливают вредоносное ПО со скрытым загрузчиком, целевыми операционными системами являются Linux и macOS.
Стратегическая нацеленность на прибыльные сектора
Основной участник данной операции разработал как минимум семь вредоносных пакетов, маскирующихся под популярные библиотеки Go. Особенно примечателен тот факт, что один из вариантов направлен на разработчиков в финансовом секторе, что указывает на целенаправленную атаку на прибыльные ниши.
Методы обфускации и распространение вредоносного ПО
Пакеты характеризуются последовательными методами обфускации и использованием вредоносных имен файлов, что свидетельствует о высоком уровне квалификации злоумышленника. Вредоносные пакеты продолжают распространяться через модульные зеркала Go, что побуждает исследователей к их удалению, с сообщениями о соответствующих репозиториях GitHub и связанных с ними пользователях.
Скрытый код и удаленное выполнение команд
В феврале 2025 года было зафиксировано несколько вредоносных пакетов, которые выдают себя за легитимную библиотеку github.com/areknoster/hypert. Эти пакеты содержат скрытый код, позволяющий выполнять удаленный код, разработанный специально для обхода стандартных методов обнаружения.
- Вредоносные функции выполняют команды оболочки для загрузки и запуска вредоносных скриптов с указанных URL-адресов.
- Одна из функций загружает скрипт с alturastreet.icu, домена, создавшегося, чтобы сбивать с толку пользователей из-за сходства с законным сайтом банковского союза Altura Credit Union.
- Обнаруженный вредоносный скрипт загружает файл ELF, идентифицированный как f0eee999, который использует метод для избегания обнаружения.
Согласованное поведение и потенциальные риски
Первоначальное поведение ELF-файла f0eee999 минимально, он может являться либо загрузчиком, либо криптомайнером, который активируется только при определенных условиях. Более глубокие исследования выявили дополнительные вредоносные пакеты, выдающие себя за законную библиотеку github.com/loov/layout, использующие те же методы обфускации и загружающие аналогичные вредоносные скрипты из разных доменов.
Атака на цепочку поставок
Согласованность имен файлов, сроки публикации и методы выполнения команд подтверждают наличие хорошо скоординированной атаки на цепочку поставок. Действия злоумышленника следуют известным тактическим приемам платформы MITRE ATT&CK, таким как:
- компрометация цепочки поставок;
- использование доменов;
- запуск вредоносных файлов пользователями;
- методы уклонения от традиционных средств защиты.
Заключение
Целенаправленное использование узнаваемости бренда, в данном случае связанного с кредитным союзом Altura, подчеркивает намерение совершить финансовую кражу. Эти изменения представляют собой серьезную угрозу для экосистемы с открытым исходным кодом, что требует повышенной бдительности и активных усилий по устранению неполадок.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



