I ricercatori della sicurezza informatica stanno avvisando una campagna dannosa in corso mira all’ecosistema GO con moduli tipoliti di tipolitù progettati per distribuire malware del caricatore su sistemi Linux e Apple MacOS.
“L’attore delle minacce ha pubblicato almeno sette pacchetti che impersonano librerie GO ampiamente usate, tra cui una (github (.) Com/Shallowmulti/Hypert) che sembra colpire gli sviluppatori del settore finanziario”, il ricercatore di socket Kirill Boychenko disse in un nuovo rapporto.
“Questi pacchetti condividono ripetuti nomi di file dannosi e tecniche di offuscamento coerenti, suggerendo un attore di minaccia coordinato in grado di ruotare rapidamente.”
Mentre tutti continuano a essere disponibili sul repository di pacchetti ufficiali, i loro corrispondenti repository GitHub che escludono “GitHub (.) Com/Ornadoctrin/Structure” non sono più accessibili. L’elenco dei pacchetti GO offensivi è di seguito –
- superficiale/hypert (github.com/shallowmulti/hypert)
- ShadowyBulk/Hypert (github.com/shadowybulk/hypert)
- Planet Belated/Hypert (github.com/belatedplanet/hypert)
- GRATHULEMAI/HYPERT (github.com/thankfulmai/hypert)
- vainreboot/structure (github.com/vainreboot/structure)
- OrnadOCtrin/Structure (github.com/ornadoctrin/structure)
- UtilizedSun/Structure (github.com/utilizedsun/structure)
I pacchetti contraffatti, l’analisi di Socket trovati, contengono codice per ottenere l’esecuzione del codice remoto. Ciò si ottiene eseguendo un comando shell offuscato per recuperare ed eseguire uno script ospitato su un server remoto (“Alturastreet (.) ICU”). Nel probabile sforzo di eludere il rilevamento, lo script remoto non viene recuperato fino a quando non è trascorso un’ora.
L’obiettivo finale dell’attacco è installare ed eseguire un file eseguibile che possa potenzialmente rubare dati o credenziali.
La divulgazione è arrivata un mese dopo la presa rivelato Un’altra istanza di un attacco della catena di approvvigionamento software program che mira all’ecosistema GO tramite un pacchetto dannoso in grado di concedere l’accesso remoto avversario ai sistemi infetti.
“L’uso ripetuto di nomi di file identici, offuscamento della stringa basato su array e tattiche di esecuzione ritardata suggerisce fortemente un avversario coordinato che prevede di persistere e adattarsi”, ha osservato Boychenko.
“La scoperta di più pacchetti maliziosi di Hypert e Structure, insieme a più domini di fallback, indica un’infrastruttura progettata per la longevità, consentendo all’attore di minaccia di ruotare ogni volta che un dominio o un repository viene inserito nella lista nera o rimosso.”
