Bösartige Go-Pakete verbreiten Malware auf Linux- und Apple-macOS-Systemen
Eine gezielte Angriffswelle nimmt das Go-Ökosystem ins Visier. Durch raffinierte Typosquatting-Techniken schleusen Cyberkriminelle manipulierte Module ein, die heimlich Loader-Malware auf Linux- und Apple-macOS-Systemen installieren.
„Ein Angreifer hat mindestens sieben manipulierte Pakete veröffentlicht, die beliebte Go-Bibliotheken imitieren. Eines davon (github[.]com/shallowmulti/hypert) scheint gezielt Entwickler aus dem Finanzsektor anzugreifen“, erklärt der Socket-Experte Kirill Boychenko in einem neuen Bericht. „Alle diese schädlichen Go-Pakete verwenden wiederholt ähnliche oder sogar identische, harmlos klingende Namen für ihre bösartigen Dateien. Das deutet darauf hin, dass ein systematisch agierender Angreifer dahintersteckt, der seine Taktiken schnell anpassen kann.“
Während alle dieser Pakete weiterhin im offiziellen Paket-Repository verfügbar sind, wurden die zugehörigen GitHub-Repositorys – mit Ausnahme von „github[.]com/ornatedoctrin/layout“ – entfernt. Die betroffenen Go-Pakete sind:
- shallowmulti/hypert (github.com/shallowmulti/hypert)
- shadowybulk/hypert (github.com/shadowybulk/hypert)
- belatedplanet/hypert (github.com/belatedplanet/hypert)
- thankfulmai/hypert (github.com/thankfulmai/hypert)
- vainreboot/layout (github.com/vainreboot/layout)
- ornatedoctrin/layout (github.com/ornatedoctrin/layout)
- utilizedsun/layout (github.com/utilizedsun/layout)
Laut einer Analyse von Socket enthalten diese gefälschten Pakete schädlichen Code, der es Angreifern ermöglicht, aus der Ferne Befehle auf infizierten Systemen auszuführen. Dazu wird ein verschleierter Shell-Befehl ausgeführt, der ein Skript von einem entfernten Server („alturastreet[.]icu“) herunterlädt und ausführt. Um Sicherheitsmaßnahmen zu umgehen, erfolgt dieser Abruf jedoch erst eine Stunde nach der Installation.
Das Ziel des Angriffs ist es, eine Schadsoftware zu installieren, die sensible Daten oder Anmeldedaten stehlen kann.
Die Datei „f0eee999“ dient als zweiter Malware-Loader und Backdoor, die der Angreifer so entwickelt hat, dass sie sich dauerhaft im System verankert, unbemerkt im Hintergrund läuft und auf weitere Befehle wartet, so Socket. „Im Wesentlichen handelt es sich um eine Backdoor, die bereit ist, Anweisungen von einem Command-and-Control-Server zu empfangen.“
Kürzlicher Angriff nutzte ebenfalls manipulierte Go-Pakete
Diese Enthüllung folgt nur einen Monat nach einer ähnlichen Attacke, bei der Angreifer über ein manipuliertes Go-Paket Remote-Zugriff auf infizierte Systeme erhielten.
„Die wiederholte Nutzung identischer Dateinamen, die Verschleierung von Zeichenketten mittels Arrays und die verzögerte Ausführung des Codes deuten stark auf einen gut organisierten Angreifer hin, der langfristig aktiv bleiben und sich anpassen will“, so Boychenko. „Die Entdeckung mehrerer schädlicher ‚hypert‘– und ‚layout‘-Pakete sowie mehrerer Ersatzdomains zeigt, dass die Angreifer vorgesorgt haben. Falls eines ihrer Pakete oder eine ihrer Domains blockiert wird, können sie schnell auf eine andere Infrastruktur ausweichen.“