Ha surgido un sofisticado ataque de la cadena de suministro dirigido a los desarrolladores a través de un paquete de módulos GO malicioso que se disfraza de una herramienta legítima de forzamiento bruto SSH mientras roba credenciales de manera encubierta para las operaciones ciberdeliminales.
El paquete, llamado “Golang-Random-IP-SSH-Bruteforce”, se presenta como un Fortcer bruto rápido, pero contiene una funcionalidad oculta que exfiltra las credenciales de inicio de sesión exitosas a un bot de telegrama controlado por actores de amenazas.
El paquete malicioso funciona escaneando continuamente las direcciones IPv4 aleatorias para servicios SSH expuestos en el puerto 22 de TCP, intentando autenticación utilizando una lista de palabras de nombre de usuario de nombre de usuario integrado e transmitiendo inmediatamente cualquier credencial exitosa a sus operadores.
Lo que hace que este ataque sea particularmente insidioso es que las víctimas creen que están realizando pruebas de penetración legítimas o investigación de seguridad, mientras que sin saberlo alimentan sus descubrimientos directamente a los ciberdelincuentes.
Socket.dev analistas identificado El comportamiento malicioso se integró en la herramienta de seguridad aparentemente legítima, revelando que el paquete ha estado activo desde el 24 de junio de 2022.
Los investigadores descubrieron que al primer inicio de sesión de SSH exitoso, el paquete envía automáticamente la dirección IP objetivo, el nombre de usuario y la contraseña a un punto final de BOT de telegrama codificado controlado por un actor de amenaza de habla rusa conocida como “Illdieanyway” en Github.
Telegram Bot y la información del usuario (fuente – Socket.dev)
El vector de ataque explota la relación de confianza entre los desarrolladores y los paquetes de código abierto, que representa una tendencia creciente de actores maliciosos que distribuyen herramientas de seguridad ofensivas con funcionalidad de puerta trasera.
Los usuarios que descargan y ejecutan el paquete inadvertidamente se convierten en participantes involuntarios en una operación de recolección de credenciales más grande, con sus exitosos intentos de penetración redirigidos a redes criminales en lugar de atender sus fines de evaluación de seguridad previstos.
Mecanismos de implementación técnica y evasión
La implementación técnica del malware demuestra tácticas de evasión sofisticadas diseñadas para mantener la seguridad operativa al tiempo que maximiza la recopilación de credenciales.
El paquete incluye una lista de palabras deliberadamente mínima que contiene solo credenciales predeterminadas comunes como “root: toor”, “admin: contraseña” y combinaciones específicas de IoT como “raíz: frambuesa” y “root: dietpi”, que reduce el ruido de la red y acelera el proceso de escaneo mientras mantiene la negación plausible para sus operadores.
La funcionalidad maliciosa central se centra en un punto final de la API de telegrama codificado: https://api.telegram.org/bot5479006055:aahatwymehu4ylqqxriw00a6cizhcfpqqcy/sendmessage.
Cuando se produce una autenticación exitosa, el paquete ejecuta una solicitud HTTP GET a este punto final, transmitiendo las credenciales comprometidas en el formato “IP: Nombre de usuario: Contraseña” al ID de chat 1159678884, asociado con el usuario de Telegram @IO_Ping.
El malware configura deliberadamente las conexiones SSH con HostKeyCallback: SSH.InsecureIgnoreHostKey () para evitar la verificación del servidor y habilitar pruebas de credenciales rápidas en diversos objetivos.
El escáner AI de Socket detectó un paquete malicioso Golang-Random-IP-SSH-BRUTEFORCE (Fuente-Socket.dev)
Aquí está la detección del escáner AI Socket del archivo de lista de palabras integrado (wl.txt) dentro del paquete malicioso, resaltando las combinaciones de credenciales específicas diseñadas para comprometer dispositivos IoT, computadoras de una sola placa y sistemas Linux configurados apresurados.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
