Peneliti cybersecurity memperingatkan kampanye berbahaya yang berkelanjutan yang menargetkan ekosistem GO dengan modul yang diketik yang dirancang untuk menggunakan malware loader pada sistem macOS Linux dan Apple.
“Aktor Ancaman telah menerbitkan setidaknya tujuh paket yang menyamar sebagai perpustakaan GO yang banyak digunakan, termasuk satu (GitHub[.]com/shallowmulti/hypert) yang tampaknya menargetkan pengembang sektor keuangan, “kata peneliti soket Kirill Boychenko dalam sebuah laporan baru.
“Paket -paket ini berbagi nama file berbahaya yang berulang dan teknik pengayaan yang konsisten, menunjukkan aktor ancaman terkoordinasi yang mampu berputar dengan cepat.”
Sementara mereka semua terus tersedia di repositori paket resmi, repositori gitub yang sesuai[.]com/ornatedoctrin/tata letak “tidak lagi dapat diakses. Daftar paket GO yang menyinggung ada di bawah ini –
- DHAROWMULTI/HYPERT (github.com/shallowmulti/hypert)
- shadowybulk/hypert (github.com/shadowybulk/hypert)
- BellatedPlanet/Hypert (github.com/belatedplanet/hypert)
- Bersyukur/Hypert (github.com/thankfulmai/hypert)
- Vainreboot/Layout (github.com/vainroothot/layout)
- Ornatedoctrin/Layout (github.com/ornatedoctrin/layout)
- Memanfaatkansun/Tata Letak (github.com/utilizedsun/layout)
Paket palsu, analisis soket ditemukan, berisi kode untuk mencapai eksekusi kode jarak jauh. Ini dicapai dengan menjalankan perintah shell yang dikaburkan untuk mengambil dan menjalankan skrip yang di -host di server jarak jauh (“Alturastreet[.]ICU “). Dalam upaya yang mungkin untuk menghindari deteksi, skrip jarak jauh tidak diambil sampai satu jam telah berlalu.
Tujuan akhir dari serangan ini adalah untuk menginstal dan menjalankan file yang dapat dieksekusi yang berpotensi mencuri data atau kredensial.
Pengungkapan tiba sebulan setelah Socket mengungkapkan contoh lain dari serangan rantai pasokan perangkat lunak yang menargetkan ekosistem GO melalui paket berbahaya yang mampu memberikan akses jarak jauh musuh ke sistem yang terinfeksi.
“Penggunaan nama file yang identik, kebingungan string berbasis array, dan taktik eksekusi yang tertunda sangat menyarankan musuh terkoordinasi yang berencana untuk bertahan dan beradaptasi,” kata Boychenko.
“Penemuan beberapa paket hypert dan tata letak berbahaya, bersama dengan beberapa domain fallback, menunjuk pada infrastruktur yang dirancang untuk umur panjang, memungkinkan aktor ancaman untuk berputar setiap kali domain atau repositori dimasukkan ke dalam daftar hitam atau dihapus.”
