Sicherheitsforscher haben ein manipuliertes Go-Modul aufgedeckt, das Passwörter ausspäht, SSH-Zugang schafft und den Linux-Trojaner Rekoobe auf Systemen installiert.
Cybersecurity-Experten haben ein bösartiges Go-Modul öffentlich gemacht, das unter dem Namen github.com/xinfeisoft/crypto bekannt ist und gezielt Passwörter stiehlt, persistente SSH-Zugänge etabliert und den Linux-Backdoor Rekoobe auf infizierte Systeme bringt.
Das Modul gibt sich als legitime “golang.org/x/crypto”-Bibliothek aus, enthält aber versteckte Schadcode, der Geheimnisse aus Terminal-Passwortabfragen an einen entfernten Server übermittelt. Nach der Exfiltration wird ein Shell-Script heruntergeladen und automatisch ausgeführt.
“Dies ist ein klassischer Fall von Namespace-Verwechslung und Impersonation des echten golang.org/x/crypto-Subrepository”, erklärte Kirill Boychenko, Sicherheitsforscher bei Socket. “Der legitime Code nutzt go.googlesource.com/crypto als kanonische Quelle, während GitHub nur als Mirror fungiert. Die Angreifer missbrauchen genau diese Unterscheidung, um ihre Fake-Version in Abhängigkeitsgraphen unauffällig erscheinen zu lassen.”
Die Malware wurde strategisch in der Datei “ssh/terminal/terminal.go” platziert. Jedes Mal, wenn eine betroffene Anwendung die Funktion ReadPassword() aufruft – die eigentlich nur Benutzereingaben wie Passwörter auslesen soll – werden diese Eingaben abgefangen und exfiltriert.
Das heruntergeladene Script fungiert als Linux-Stager und führt mehrere kritische Operationen durch: Es hinterlegt SSH-Schlüssel des Angreifers in der Datei “/home/ubuntu/.ssh/authorized_keys”, setzt Firewall-Richtlinien auf ACCEPT herab und lädt weitere Schadsoftware herunter, die mit der .mp5-Erweiterung getarnt wird.
Unter den zwei nachgeladenen Payloads ist ein Connectivity-Tester, der versucht, mit der IP 154.84.63.184 über TCP-Port 443 zu kommunizieren. Dieses Programm dient vermutlich als Reconnaissance- oder Loader-Tool, so Socket.
Die zweite Payload ist Rekoobe, ein bereits seit 2015 bekannter Linux-Trojaner. Der Backdoor empfängt Befehle von angreifer-kontrollierten Servern, kann zusätzliche Payloads herunterladen, Dateien stehlen und Remote-Shells starten. Noch im August 2023 wurde Rekoobe von chinesischen Nation-State-Gruppen wie APT31 eingesetzt.
Obwohl das Modul noch auf pkg.go.dev gelistet ist, hat das Go-Sicherheitsteam das verdächtige Paket mittlerweile blockiert.
“Diese Kampagne wird sich wiederholen, denn das Muster ist einfach und äußerst wirksam: ein täuschend echtes Modul, das eine kritische Schnittstelle (ReadPassword) anzapft, GitHub Raw als dynamischen Pointer nutzt und dann in klassisches curl-Pipe-zu-sh-Staging übergehen kann”, warnte Boychenko.
“Sicherheitsteams sollten mit ähnlichen Supply-Chain-Attacken auf andere Authentifizierungs-Bibliotheken rechnen – SSH-Helper, CLI-Auth-Prompts oder Datenbank-Connectoren. Angreifer werden zudem verstärkt verschiedene Hosting-Plattformen nutzen, um ihre Infrastruktur zu rotieren, ohne den Code neu zu publizieren.”
Quelle: The Hacker News