Siber güvenlik araştırmacıları, uzak sunuculardan ek yükler indirmek ve bunları hem Windows hem de Linux sistemlerinde yürütmek için tasarlanmış bir dizi 11 kötü amaçlı GO paketi keşfetti.
Soket güvenlik araştırmacısı Olivia Brown, “Çalışma zamanında kod sessizce bir kabuk ortaya çıkarıyor, değiştirilebilir bir .ICU ve .Tech komut ve kontrol (C2) uç noktalarından ikinci aşama yükü çekiyor ve hafızada yürütüyor.” Dedi.
Belirlenen paketlerin listesi aşağıdadır –
- github.com/stripedconsu/linker
- github.com/agitatedleopa/stm
- github.com/expertsandba/opt
- github.com/weteteepee/hcloud-ip-floater
- github.com/weightycine/replika
- github.com/ordinarymea/tnsr_ids
- github.com/ordinarymea/tnsr_ids
- github.com/cavernouskina/mcp-go
- github.com/lastnymph/goid
- github.com/sinfulsky/goid
- github.com/briefinitia/gouid
Paketler, ikinci aşama ELF ve taşınabilir yürütülebilir (PE) ikili dosyalarını almak için işlevselliği barındıran, ev sahibi bilgileri toplayabilen, web tarayıcı verilerine erişebilen ve C2 sunucusuna işaret edebilen bir yükleyici gizliyor.
Brown, “İkinci aşamalı yük, Linux sistemleri için bash-yazılı bir yük sunduğundan ve certutil.exe aracılığıyla Windows yürütülebilir ürünleri geri aldığından, hem Linux Build sunucuları hem de Windows iş istasyonları uzlaşmaya yatkındır.” Dedi.
Karmaşık meseleler, modüllerin GitHub depolarından doğrudan içe aktarılmasına izin veren GO ekosisteminin merkezi olmayan doğasıdır, bu da pkg.go.dev’de bir paket aradığında önemli geliştirici karışıklığına neden olur, ancak doğada kötü niyetli olmayabilir.
Socket, “Saldırganlar karışıklığı kullanıyor, kötü niyetli modül ad alanlarını bir bakışta güvenilir görünecek şekilde dikkatlice hazırlayarak, geliştiricilerin yıkıcı kodu projelerine yanlışlıkla entegre etme olasılığını önemli ölçüde artırıyor.” Dedi.
Paketlerin, C2’nin yeniden kullanımı ve kodun formatı nedeniyle tek bir tehdit aktörünün çalışması olduğu değerlendirilir. Bulgular, GO PUCH TOPLAT yazılımının platformlar arası doğasından kaynaklanan tedarik zinciri risklerinin altını çizmektedir.
Geliştirme, geliştiricilerin sistemlerini uzaktan silebilen bir telefon numarası tabanlı öldürme anahtarı eklerken, WhatsApp Socket kütüphaneleri olarak maskelenen iki NPM paketinin, Naya-Flore ve Nvlore-HSC’nin keşfedilmesiyle çakışıyor.
Toplu olarak 1.110’dan fazla indirme indirilen paketler, NPM Kayıt Defterinde yazma olarak mevcut kalmaya devam ediyor. Her iki kütüphane de Temmuz 2025’in başlarında “Nayflore” adlı bir kullanıcı tarafından yayınlandı.
Operasyonlarının merkezinde, bir GitHub deposundan Endonezya telefon numaralarının uzak bir veritabanını alma yeteneğidir. Paket yürütüldükten sonra, önce geçerli telefonun veritabanında olup olmadığını kontrol eder ve değilse, bir WhatsApp eşleştirme işlemini takiben “RM -RF *” komutunu kullanarak tüm dosyaları özyinle bir şekilde silmeye devam eder.
Paketlerin ayrıca, cihaz bilgilerini harici bir son noktaya yaymak için bir işlev içerdiği bulunmuştur, ancak şemanın arkasındaki tehdit aktörünün devam eden gelişimi işaret ettiğini düşündüren işleve yapılan çağrılar yorumlanmıştır.
Güvenlik araştırmacısı Kush Pandya, “Naya-Flore ayrıca özel depolara yetkisiz erişim sağlayan sert kodlanmış bir GitHub kişisel erişim belirteci içeriyor.” Dedi. “Bu jetonun amacı mevcut koddan belirsizliğini koruyor.”
Diyerek şöyle devam etti: “Kullanılmayan bir Github jetonunun varlığı, bu paketlere dahil olmayan eksik gelişimi, hiç uygulanmayan planlı işlevselliği veya kullanımı gösterebilir.”
Açık kaynaklı depolar, hassas bilgileri çalmak için tasarlanmış paketler ve hatta bazı durumlarda kripto para cüzdanlarını hedefleyen paketler ile yazılım tedarik zincirlerinde çekici bir kötü amaçlı yazılım dağıtım kanalı olmaya devam etmektedir.
Fortinet Fortiguard Labs, “Genel taktikler önemli ölçüde gelişmemiş olsa da, saldırganlar dosya sayısını en aza indirmek, yükleme komut dosyalarını kullanmak ve etkiyi en üst düzeye çıkaran tutar veri açığa vurma yöntemleri kullanmak gibi kanıtlanmış tekniklere güvenmeye devam ediyor.” Dedi.
Diyerek şöyle devam etti: “Gizlemede devam eden bir artış, bu hizmetlerin kullanıcıları tarafından gereken uyanıklık ve sürekli izlemenin önemini de not ediyor. Ve OSS büyümeye devam ettikçe, tedarik zinciri tehditleri için saldırı yüzeyi de olacak.”