HackerNews 编译,转载请注明出处:
网络安全研究人员正在警告一个针对 Go 生态系统的恶意活动,该活动使用拼写错误的模块,旨在在 Linux 和苹果 macOS 系统上部署加载器恶意软件。
“威胁行为者已经发布了至少七个模仿广泛使用的 Go 库的软件包,其中包括一个(github[.]com/shallowmulti/hypert)似乎针对金融行业开发者的软件包,”Socket 研究员基里尔·博伊琴科(Kirill Boychenko)在一份新报告中表示。
“这些软件包共享重复的恶意文件名和一致的混淆技术,表明了一个有协调的威胁行为者,能够迅速调整策略。”
这些恶意软件包通过 Go 模块镜像缓存机制来实现持久的远程访问。一旦安装,这些软件包会授予攻击者对受感染系统的远程访问权限,使他们能够执行任意命令。
攻击者利用了 Go 模块镜像服务的缓存机制,即使原始源代码库中的标签被修改,已缓存的恶意版本仍可供下载。这种欺骗性的方法确保对 GitHub 存储库的手动审核不会发现任何恶意内容,而缓存机制意味着使用 go CLI 安装包的开发者会继续下载带有后门的变体。
以下是被发现的恶意 Go 软件包列表:
- shallowmulti/hypert (github.com/shallowmulti/hypert)shadowybulk/hypert (github.com/shadowybulk/hypert)belatedplanet/hypert (github.com/belatedplanet/hypert)thankfulmai/hypert (github.com/thankfulmai/hypert)vainreboot/layout (github.com/vainreboot/layout)ornatedoctrin/layout (github.com/ornatedoctrin/layout)utilizedsun/layout (github.com/utilizedsun/layout)
这些恶意软件包的设计目的是实现远程代码执行。这是通过运行一个混淆的 shell 命令来完成的,该命令从远程服务器(”alturastreet[.]icu”)检索并运行一个脚本。为了逃避检测,远程脚本在一段时间后才会被检索。
攻击的最终目标是安装并运行一个可执行文件,该文件可能会窃取数据或凭证。
安全研究人员建议开发人员和安全团队监控利用缓存模块版本来逃避检测的攻击。他们还建议使用不可变模块版本来减少此类攻击的风险。
“由于不可变模块既提供了安全优势,也提供了潜在的滥用媒介,开发人员和安全团队应该监控利用缓存模块版本来逃避检测的攻击,”博伊琴科指出。
消息来源:The Hacker News;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
