Ondsinnet Go-modul stjeler passord
Deretter installerer den Linux-bakdøren Rekoobe, ifølge sikkerhetsforskere.
Sikkerhetsforskere har avdekket en ondsinnet Go-pakke som utgir seg for å være et legitimt kryptobibliotek, men som i virkeligheten stjeler passord og installerer bakdørstilgang på Linux-systemer, det skriver nettavisen The Hacker News.
Angrepet regnes som nok et eksempel på en alvorlig supply-chain trussel, slik vi har sett med NPM-pakker tidligere.
Den falske modulen, publisert som github.com/xinfeisoft/crypto, etterligner det mye brukte biblioteket golang.org/x/crypto.
Ifølge forsker Kirill Boychenko hos sikkerhetsselskapet Socket utnytter angriperne forvirring rundt navnerom og speil-repositories for å få pakken til å fremstå legitim i avhengighetslister.
Fanger opp passord direkte fra terminalen
Den skadelige koden er skjult i filen ssh/terminal/terminal.go, skriver The Hacker News.
Når applikasjoner bruker funksjonen ReadPassword() – normalt brukt for å lese passord fra terminalen – blir innskrevne hemmeligheter i stedet sendt til en ekstern server kontrollert av angriperne.
Etter datalekkasjen lastes et shell-skript ned og kjøres automatisk. Skriptet etablerer vedvarende tilgang ved blant annet å legge angriperens SSH-nøkkel inn i systemets authorized_keys-fil og svekke brannmurregler ved å sette standardpolicy i iptables til ACCEPT.
Videre lastes ekstra skadevare ned, kamuflert med filendelsen .mp5 for å unngå mistanke.
Installerer kjent Linux-trojaner
En av de nedlastede komponentene er identifisert som Rekoobe, en bakdør som har vært observert i angrep siden minst 2015, ifølge The Hacker News.
Trojaneren kan motta kommandoer fra angripere, laste ned ytterligere skadevare, stjele filer og åpne reverse shell-tilgang til kompromitterte systemer.
Rekoobe har tidligere blitt knyttet til kinesiske statstilknyttede grupper, blant annet APT31.
Selv om pakken fortsatt var synlig på pkg.go.dev da funnene ble offentliggjort, har Go-sikkerhetsteamet nå blokkert biblioteket som ondsinnet.
Eksperter advarer om at angrepsmetoden er både enkel og effektiv: Et bibliotek som ligner på et legitimt prosjekt kobles inn på et kritisk punkt – som passordinntasting – før angriperne eskalerer til full systemtilgang.
Sikkerhetsmiljøet forventer derfor flere lignende angrep rettet mot biblioteker som håndterer autentisering, SSH-tilkoblinger og databasenøkler i tiden fremover.