Тайпсквоттинг в Go: семь вредоносных модулей похищают финансовые данные
NewsMakerКак отложенное выполнение кода превращает легитимные приложения в бэкдоры.
Исследователи в области кибербезопасности предупреждают о новой вредоносной кампании, нацеленной на экосистему Go. Атакующие используют метод тайпсквоттинга, создавая фальшивые модули, которые внедряют вредоносное ПО на устройства под управлением Linux и macOS.
Эксперты компании Socket обнаружили не менее семи поддельных пакетов, имитирующих популярные библиотеки Go. Один из них, «github[.]com/shallowmulti/hypert», ориентирован на разработчиков в финансовом секторе. Анализ показал, что все вредоносные модули используют повторяющиеся имена файлов и схожие методы обфускации кода, что указывает на организованную группу злоумышленников, способных быстро менять тактику.
Хотя эти вредоносные пакеты по-прежнему доступны в официальном репозитории Go, их связанные GitHub-репозитории (за исключением «github[.]com/ornatedoctrin/layout») были удалены. В список обнаруженных угроз входят:
Конечная цель атаки — установка исполняемого файла, способного похищать данные или учётные данные пользователей.
Эта вредоносная кампания была выявлена спустя месяц после обнаружения исследователями аналогичной угрозы , когда вредоносный пакет в экосистеме Go обеспечивал злоумышленникам удалённый доступ к заражённым системам.
Эксперты отмечают, что злоумышленники активно используют одинаковые названия файлов, маскировку строк в массивах и отложенную загрузку, что говорит об их намерении сохранить присутствие в системе. Наличие нескольких доменов и альтернативных репозиториев указывает на хорошо спланированную инфраструктуру, позволяющую быстро адаптироваться в случае блокировки используемых ресурсов.
Исследователи в области кибербезопасности предупреждают о новой вредоносной кампании, нацеленной на экосистему Go. Атакующие используют метод тайпсквоттинга, создавая фальшивые модули, которые внедряют вредоносное ПО на устройства под управлением Linux и macOS.
Эксперты компании Socket обнаружили не менее семи поддельных пакетов, имитирующих популярные библиотеки Go. Один из них, «github[.]com/shallowmulti/hypert», ориентирован на разработчиков в финансовом секторе. Анализ показал, что все вредоносные модули используют повторяющиеся имена файлов и схожие методы обфускации кода, что указывает на организованную группу злоумышленников, способных быстро менять тактику.
Хотя эти вредоносные пакеты по-прежнему доступны в официальном репозитории Go, их связанные GitHub-репозитории (за исключением «github[.]com/ornatedoctrin/layout») были удалены. В список обнаруженных угроз входят:
- shallowmulti/hypert (github.com/shallowmulti/hypert)
- shadowybulk/hypert (github.com/shadowybulk/hypert)
- belatedplanet/hypert (github.com/belatedplanet/hypert)
- thankfulmai/hypert (github.com/thankfulmai/hypert)
- vainreboot/layout (github.com/vainreboot/layout)
- ornatedoctrin/layout (github.com/ornatedoctrin/layout)
- utilizedsun/layout (github.com/utilizedsun/layout)
Конечная цель атаки — установка исполняемого файла, способного похищать данные или учётные данные пользователей.
Эта вредоносная кампания была выявлена спустя месяц после обнаружения исследователями аналогичной угрозы , когда вредоносный пакет в экосистеме Go обеспечивал злоумышленникам удалённый доступ к заражённым системам.
Эксперты отмечают, что злоумышленники активно используют одинаковые названия файлов, маскировку строк в массивах и отложенную загрузку, что говорит об их намерении сохранить присутствие в системе. Наличие нескольких доменов и альтернативных репозиториев указывает на хорошо спланированную инфраструктуру, позволяющую быстро адаптироваться в случае блокировки используемых ресурсов.