11 вредоносных Go-пакетов из GitHub атакуют Windows и Linux, маскируясь под легитимный код и загружая вредонос в память
NewsMakerУязвимость усугубляет децентрализованная модель импорта из GitHub.
Исследователи в области кибербезопасности выявили 11 вредоносных пакетов для языка Go, предназначенных для загрузки дополнительных компонентов с удалённых серверов и их исполнения как на Windows, так и на Linux. По данным специалиста Socket Оливии Браун, во время работы вредоносный код незаметно инициирует оболочку, получает вторичную полезную нагрузку с набора C2-адресов в доменах.icu и.tech и выполняет её прямо в памяти.
В список вошли следующие репозитории:
Вторичный этап атаки различается в зависимости от ОС: на Linux загружается bash-скрипт, на Windows — исполняемый файл через certutil.exe. Такой подход делает уязвимыми как серверы сборки под Linux, так и рабочие станции с Windows.
Ситуацию усугубляет архитектура Go, допускающая прямой импорт модулей из GitHub, где легко создать репозиторий с названием, имитирующим легитимный пакет, что повышает риск случайного подключения вредоносного кода в проекты. Анализ C2-адресов и структуры кода указывает на единого автора этих пакетов.
Вредоносные модули затрагивают как серверы сборки на Linux, так и рабочие станции с Windows, открывая злоумышленникам возможность удалённого доступа и кражи данных. Совпадение используемых методов и кодовой структуры с предыдущими атаками на Go-пакеты подтверждает, что эта кампания — продолжение уже известных атак на цепочку поставок.
Эксперты подчёркивают, что активное использование таких техник, как обфускация, подмена имён пакетов и скрытая загрузка кода в память, делает подобные угрозы особенно опасными и трудными для обнаружения.
Исследователи в области кибербезопасности выявили 11 вредоносных пакетов для языка Go, предназначенных для загрузки дополнительных компонентов с удалённых серверов и их исполнения как на Windows, так и на Linux. По данным специалиста Socket Оливии Браун, во время работы вредоносный код незаметно инициирует оболочку, получает вторичную полезную нагрузку с набора C2-адресов в доменах.icu и.tech и выполняет её прямо в памяти.
В список вошли следующие репозитории:
- github.com/stripedconsu/linker;
- github.com/agitatedleopa/stm;
- github.com/expertsandba/opt;
- github.com/wetteepee/hcloud-ip-floater;
- github.com/weightycine/replica;
- github.com/ordinarymea/tnsr_ids;
- github.com/ordinarymea/TNSR_IDS;
- github.com/cavernouskina/mcp-go;
- github.com/lastnymph/gouid;
- github.com/sinfulsky/gouid;
- github.com/briefinitia/gouid.
Вторичный этап атаки различается в зависимости от ОС: на Linux загружается bash-скрипт, на Windows — исполняемый файл через certutil.exe. Такой подход делает уязвимыми как серверы сборки под Linux, так и рабочие станции с Windows.
Ситуацию усугубляет архитектура Go, допускающая прямой импорт модулей из GitHub, где легко создать репозиторий с названием, имитирующим легитимный пакет, что повышает риск случайного подключения вредоносного кода в проекты. Анализ C2-адресов и структуры кода указывает на единого автора этих пакетов.
Вредоносные модули затрагивают как серверы сборки на Linux, так и рабочие станции с Windows, открывая злоумышленникам возможность удалённого доступа и кражи данных. Совпадение используемых методов и кодовой структуры с предыдущими атаками на Go-пакеты подтверждает, что эта кампания — продолжение уже известных атак на цепочку поставок.
Эксперты подчёркивают, что активное использование таких техник, как обфускация, подмена имён пакетов и скрытая загрузка кода в память, делает подобные угрозы особенно опасными и трудными для обнаружения.