Хакери розгортають зловмисний софт в системах Linux і macOS, націлений на розробників Go

Дослідники кібербезпеки попереджають про активну зловмисну ​​кампанію, націлену на екосистему розробки на мові програмування Go. Вона використовує тайпсквоттінг і призначена для завантаження та розгортання зловмисного програмного забезпечення в системах Linux і macOS, повідомляє The Hacker News.

«Опубліковано принаймні сім пакетів, які імітують популярні бібліотеки Go, у тому числі один з них (github[.]com/shallowmulti/hypert), здається, націлений на розробників у фінансовому секторі. Ці пакети використовують помилки в іменах файлів і послідовні методи обфускації, що свідчить про скоординовану загрозу, яка здатна швидко змінюватися», — заявив дослідник Socket Кирило Бойченко.

Список зловмисних пакетів Go, в назви яких навмисно додано незначні помилки, наведено нижче:

• smallmulti/hypert (github.com/shallowmulti/hypert)
• shadowybulk/hypert (github.com/shadowybulk/hypert)
• belatedplanet/hypert (github.com/belatedplanet/hypert)
• thankfulmai/hypert (github.com/thankfulmai/hypert)
• vainreboot/layout (github.com/vainreboot/layout)
• ornatedoctrin/layout (github.com/ornatedoctrin/layout)
• utilizedsun/layout (github.com/utilizedsun/layout)

Аналіз Socket виявив, що підроблені пакети містять код для віддаленого виконання коду. Метою є запуск команди оболонки з обфускацією для отримання та запуску сценарію, розміщеного на віддаленому сервері (“alturastreet[.]icu”). Ймовірно, намагаючись уникнути виявлення, віддалений сценарій не завантажується, доки не мине година.

У випадку успішної атаки на комп’ютері жертви встановлюється та запускається виконуваний файл, який потенційно може викрадати дані або облікові дані.