Исследователи Socket обнаружили продолжающуюся кампанию взлома экосистемы Go через пакеты с опечатками, которые устанавливают скрытый загрузчик вредоносного ПО на системы Linux и macOS. Злоумышленники опубликовали несколько поддельных пакетов, притворяющихся популярными библиотеками Go, включая пакет github.com/shallowmulti/hypert, который, по-видимому, предназначен для разработчиков в финансовом секторе.
Описание
Эти вредоносные пакеты имеют одинаковые имена файлов-вредоносов и последовательные методы обфускации, что указывает на скоординированное действие злоумышленников, которые способны быстро меняться. На данный момент пакеты доступны на Go Module Mirror, но были запросы на их удаление и сообщения о них были разосланы на GitHub и учетные записи пользователей, связанные с ними.
В феврале 2025 года злоумышленник опубликовал на Go Module Mirror четыре вредоносных пакета, подражающих легитимной библиотеке github.com/areknoster/hypert, известному инструменту для тестирования клиентов HTTP API. Эти поддельные пакеты - github.com/shallowmulti/hypert, github.com/shadowybulk/hypert, github.com/belatedplanet/hypert и github.com/thankfulmai/hypert - содержат скрытые функции для удаленного выполнения кода.
Вредоносные пакеты содержат маскированный код, который выполнит команду оболочки для загрузки и запуска удаленных сценариев с вредоносных доменов, таких как alturastreet[.]icu, host3ar[.]com и binghost7[.]com. Злоумышленники использовали технику обфускации строк на основе массивов, чтобы скрыть вредоносные команды, с целью обойти базовое статическое обнаружение.
Анализ показал, что вредоносный домен alturastreet[.]icu напоминает легитимный домен alturacu.com, который принадлежит кредитному союзу Altura Credit Union. Различия в домене alturastreet[.]icu, такие как добавление слова "street" и использование необычного домена верхнего уровня (.icu), указывают на попытку запутать и ввести в заблуждение потенциальные жертвы.
Программа вредоносного скрипта загружает ELF-файл f0eee999, который выполняется при импорте вредоносного пакета. Загрузка происходит при помощи команды wget, которая получает скрипт с вредоносного домена и передает его на выполнение в оболочку bash. Код скрипта дальше переходит в домашнюю папку пользователя и выполняет некоторые действия с серверами командной строки. Если скрипт выполняется на Linux, это может привести к дополнительным действиям вредоносного ПО.
Indicators of Compromise
IPv4
- 185.100.157.127
Domains
- alturastreet.icu
- binghost7.com
- host3ar.com
- sharegolem.com
URLs
- alturastreet.icu/storage/de373d0df/a31546bf
- binghost7.com/storage/de373d0df/a31546bf
- host3ar.com/storage/de373d0df/a31546bf
- http://185.100.157.127/storage/de373d0df/f0eee999
- sharegolem.com/storage/de373d0df/a31546bf
SHA256
- b0d20a3dcb937da1ddb01684f6040bdbb920ac19446364e949ee8ba5b50a29e4
- f70bc9a8e39eb36547717197efe88173c23c1b9c206d253f0e24a8aaadf0f915