Cercetătorii în securitate cibernetică de la Socket au dezvăluit un modul Go malițios care se dă drept biblioteca golang.org/x/crypto utilizată pe scară largă pentru a fura parole, a stabili acces SSH persistent pe sisteme Linux și a instala backdoor-ul Rekoobe — un troian de acces la distanță cu legături către grupuri de hackeri susținute de statul chinezesc.
Pachetul fraudulos, github[.]com/xinfeisoft/crypto, exploatează ceea ce cercetătorul în securitate Kirill Boychenko de la Socket a descris drept „confuzie de namespace”, profitând de distincția dintre depozitul canonic go.googlesource.com/crypto și copia sa oglindă de pe GitHub pentru a face ca modulul malițios să „pară normal în graficele de dependențe”.
Cum funcționează atacul
Codul malițios este integrat în fișierul „ssh/terminal/terminal.go”, vizând o funcție frecvent utilizată numită ReadPassword() — destinată să citească în mod securizat parolele de la un terminal. Când aplicația unui dezvoltator apelează această funcție, modulul modificat capturează în mod silențios acreditările introduse și le exfiltrează către un punct final de la distanță controlat de atacator. Ca răspuns, serverul livrează un script shell care servește drept stager pentru compromiterea ulterioară.
Scriptul shell adaugă o cheie SSH controlată de atacator la fișierul authorized_keys de pe mașina victimei, relaxează restricțiile de firewall prin setarea politicilor implicite iptables la ACCEPT și descarcă payloaduri suplimentare deghizate cu extensia de fișier .mp5. Un payload funcționează ca un instrument de verificare a conectivității și recunoaștere, în timp ce al doilea este un backdoor Rekoobe — un troian Linux observat pentru prima dată în sălbăticie în 2015 și construit pe proiectul open-source Tiny SHell.
Rekoobe este capabil să primească comenzi de la un server controlat de atacator pentru a descărca fișiere, a exfiltra date și a lansa un reverse shell. Malware-ul a fost anterior asociat cu grupul de amenințări chinezesc APT31, conform cercetărilor de la AhnLab Security Emergency Response Center.
Un model în creștere al atacurilor asupra lanțului de aprovizionare
Descoperirea se adaugă la o listă în creștere de atacuri asupra lanțului de aprovizionare care vizează ecosistemul open-source al Go. În 2021, o versiune typosquatted separată a popularului modul de bază de date BoltDB a persistat nedetectată în cache-ul Module Mirror al Go timp de mai bine de trei ani înainte ca cercetătorii Socket să o descopere. Mai recent, Socket a identificat module Go malițioase concepute pentru a șterge discuri Linux și a fura credențiale de browser.
În timp ce echipa de securitate Go a trecut la blocarea pachetului xinfeisoft/crypto, Boychenko a avertizat că modelul de atac — interceptarea bibliotecilor de gestionare a credențialelor și utilizarea URL-urilor GitHub Raw pentru a rota infrastructura — este probabil să se repete. „Apărătorii ar trebui să anticipeze atacuri similare asupra lanțului de aprovizionare care vizează alte biblioteci de ‘margine de credențiale’ (ajutoare SSH, prompt-uri de autentificare CLI, conectori de baze de date)”, a declarat Boychenko.
Surse:
Rekoobe Malware Used by Chinese Hacker Group Attack Linux system
Analysis of the Rekoobe Backdoor Being Used In Attacks Against Linux Systems in Korea