Siber güvenlik araştırmacıları, Linux ve Apple macOS sistemlerinde yükleyici kötü amaçlı yazılımları dağıtmak üzere tasarlanmış yazım hattı modülleriyle Go ekosistemini hedefleyen devam eden kötü niyetli bir kampanyayı uyarıyor.
“Tehdit oyuncusu, biri de dahil olmak üzere yaygın olarak kullanılan GO kütüphanelerini taklit eden en az yedi paket yayınladı (GitHub[.]Com/Solloowmulti/Hypert) Finansal sektör geliştiricilerini hedefliyor gibi görünüyor, “dedi soket araştırmacısı Kirill Boychenko yeni bir raporda.
“Bu paketler, tekrarlanan kötü amaçlı dosya adlarını ve tutarlı gizleme tekniklerini paylaşıyor ve bu da hızla dönebilecek koordineli bir tehdit oyuncusu olduğunu gösteriyor.”
Hepsi resmi paket deposunda mevcut olmaya devam ederken, karşılık gelen GitHub depoları “Github[.]com/ernatedoctrin/mizanpaj “artık erişilemiyor. Suçlu Go Paketlerinin listesi aşağıda –
- Sığır/Hypert (github.com/shallowmulti/hypert)
- Shadowybulk/Hypert (github.com/shadowybulk/hypert)
- gecikmişplan/hipert (github.com/belatedplanet/hypert)
- Minnetir/Hypert (github.com/thankfulmai/hypert)
- Vainreboot/Düzen (github.com/vainreboot/layout)
- Ornatedoctrin/Düzen (github.com/ornatedoctrin/layout)
- Kullanım/Düzen (github.com/utilizedsun/layout)
Socket’in analizi olan sahte paketler, uzaktan kod yürütülmesi için kod içerir. Bu, uzak bir sunucuda barındırılan bir komut dosyasını almak ve çalıştırmak için gizlenmiş bir kabuk komutu çalıştırarak elde edilir (“Alturastreet[.]ICU “). Tespitten kaçınma çabasıyla, uzak komut dosyası bir saat geçene kadar getirilmez.
Saldırının nihai amacı, potansiyel olarak veri veya kimlik bilgilerini çalabilen yürütülebilir bir dosya yüklemek ve çalıştırmaktır.
Açıklama, soketin, enfekte olmuş sistemlere düşman uzaktan erişimini sağlayabilen kötü amaçlı bir paket aracılığıyla Go ekosistemini hedefleyen bir yazılım tedarik zinciri saldırısının başka bir örneğini ortaya çıkarmasından bir ay sonra geldi.
Boychenko, “Aynı dosya adlarının tekrar tekrar kullanılması, dizi tabanlı dize gizlemesi ve gecikmeli yürütme taktikleri, devam etmeyi ve uyarlamayı planlayan koordineli bir düşman öneriyor.”
“Birden fazla kötü niyetli hipert ve düzen paketinin keşfedilmesi, birden fazla geri dönüş alan adı ile birlikte, uzun ömürlü bir altyapıya işaret ederek, bir alan veya depo kara listeye alındığında veya kaldırıldığında tehdit oyuncusunun pivot yapmasını sağlıyor.”