В экосистеме Go зафиксирована целенаправленная кампания, использующая технику typosquatting для распространения вредоносного загрузчика на платформах Linux и macOS. Злоумышленники маскируют свои пакеты под известные библиотеки, стремясь обмануть разработчиков и получить доступ к конфиденциальной информации.
Исследователи выявили не менее семи пакетов, имитирующих популярные Go-модули, среди которых особенно выделяется благодаря ориентации на разработчиков в финансовом секторе. Такой выбор цели позволяет потенциально затронуть крупномасштабные проекты с высокими требованиями к безопасности.
Обнаруженные модули характеризуются повторяющимися именами файлов и использованием массивных схем обфускации, что свидетельствует о скоординированных действиях злоумышленников. Применяемая тактика предусматривает запуск удалённого исполнения кода, посредством которого атакующие могут проникнуть в систему.
Запрограммированный механизм вредоносного кода выполняет обфусцированную команду оболочки, которая через час инициирует запуск скрипта, размещённого на сервере alturastreet[.]icu. Запланированная задержка позволяет усложнить процесс обнаружения и анализа атаки, а конечной задачей является установка файла, способного похищать данные и учетные записи.
Несмотря на то, что ряд GitHub репозиториев уже был удалён, все заражённые пакеты по-прежнему доступны в официальном репозитории Go. Особое внимание вызывает репозиторий , остающийся единственным доступным среди остальных, таких как , , , и .
Раскрытие данной кампании произошло всего через месяц после сообщения компании Socket о другой атаке на цепочку поставок в экосистеме Go. Предыдущи случаи, когда вредоносный пакет предоставлял удалённый доступ к заражённым системам, подтверждают систематичность выбора цели злоумышленниками.
Эксперт компании Socket, Кирилл Бойченко, отмечает, что повторное использование одинаковых имен файлов, применение массивов для обфускации строк и метод задержанного запуска ярко указывают на скоординированную деятельность. Использование множества пакетов с именами hypert и layout, а также резервирование альтернативных доменных имён демонстрируют способность противника оперативно менять тактику при блокировке инфраструктуры.
Выявленные методы атаки подчеркивают необходимость пристального внимания при установке сторонних модулей. Тщательная проверка источников, а также регулярный мониторинг обновлений в официальном репозитории Go снижают риск компрометации систем и утечки конфиденциальных данных.
Изображение носит иллюстративный характер
Исследователи выявили не менее семи пакетов, имитирующих популярные Go-модули, среди которых особенно выделяется благодаря ориентации на разработчиков в финансовом секторе. Такой выбор цели позволяет потенциально затронуть крупномасштабные проекты с высокими требованиями к безопасности.
Обнаруженные модули характеризуются повторяющимися именами файлов и использованием массивных схем обфускации, что свидетельствует о скоординированных действиях злоумышленников. Применяемая тактика предусматривает запуск удалённого исполнения кода, посредством которого атакующие могут проникнуть в систему.
Запрограммированный механизм вредоносного кода выполняет обфусцированную команду оболочки, которая через час инициирует запуск скрипта, размещённого на сервере alturastreet[.]icu. Запланированная задержка позволяет усложнить процесс обнаружения и анализа атаки, а конечной задачей является установка файла, способного похищать данные и учетные записи.
Несмотря на то, что ряд GitHub репозиториев уже был удалён, все заражённые пакеты по-прежнему доступны в официальном репозитории Go. Особое внимание вызывает репозиторий , остающийся единственным доступным среди остальных, таких как , , , и .
Раскрытие данной кампании произошло всего через месяц после сообщения компании Socket о другой атаке на цепочку поставок в экосистеме Go. Предыдущи случаи, когда вредоносный пакет предоставлял удалённый доступ к заражённым системам, подтверждают систематичность выбора цели злоумышленниками.
Эксперт компании Socket, Кирилл Бойченко, отмечает, что повторное использование одинаковых имен файлов, применение массивов для обфускации строк и метод задержанного запуска ярко указывают на скоординированную деятельность. Использование множества пакетов с именами hypert и layout, а также резервирование альтернативных доменных имён демонстрируют способность противника оперативно менять тактику при блокировке инфраструктуры.
Выявленные методы атаки подчеркивают необходимость пристального внимания при установке сторонних модулей. Тщательная проверка источников, а также регулярный мониторинг обновлений в официальном репозитории Go снижают риск компрометации систем и утечки конфиденциальных данных.
