Хакери розгортають зловмисний софт в системах Linux і macOS, націлений на розробників Go
Дослідники кібербезпеки попереджають про активну зловмисну кампанію, націлену на екосистему розробки на мові програмування Go. Вона використовує тайпсквоттінг і призначена для завантаження та розгортання зловмисного програмного забезпечення в системах Linux і macOS, повідомляє The Hacker News.
«Опубліковано принаймні сім пакетів, які імітують популярні бібліотеки Go, у тому числі один з них (github[.]com/shallowmulti/hypert), здається, націлений на розробників у фінансовому секторі. Ці пакети використовують помилки в іменах файлів і послідовні методи обфускації, що свідчить про скоординовану загрозу, яка здатна швидко змінюватися», — заявив дослідник Socket Кирило Бойченко.
Список зловмисних пакетів Go, в назви яких навмисно додано незначні помилки, наведено нижче:
- smallmulti/hypert (github.com/shallowmulti/hypert)
- shadowybulk/hypert (github.com/shadowybulk/hypert)
- belatedplanet/hypert (github.com/belatedplanet/hypert)
- thankfulmai/hypert (github.com/thankfulmai/hypert)
- vainreboot/layout (github.com/vainreboot/layout)
- ornatedoctrin/layout (github.com/ornatedoctrin/layout)
- utilizedsun/layout (github.com/utilizedsun/layout)
Аналіз Socket виявив, що підроблені пакети містять код для віддаленого виконання коду. Метою є запуск команди оболонки з обфускацією для отримання та запуску сценарію, розміщеного на віддаленому сервері (“alturastreet[.]icu”). Ймовірно, намагаючись уникнути виявлення, віддалений сценарій не завантажується, доки не мине година.
У випадку успішної атаки на комп’ютері жертви встановлюється та запускається виконуваний файл, який потенційно може викрадати дані або облікові дані.
Сообщить об опечатке
Текст, который будет отправлен нашим редакторам: