Один импорт в проект — и Windows, и Linux-серверы переходят под управление хакеров

Go Socket GitHub C2 вредоносные пакеты цепочка поставок обфускация
Один импорт в проект — и Windows, и Linux-серверы переходят под управление хакеров
Go Socket GitHub C2 вредоносные пакеты цепочка поставок обфускация

Уязвимость усугубляет децентрализованная модель импорта из GitHub.

image

Исследователи в области кибербезопасности выявили 11 вредоносных пакетов для языка Go, предназначенных для загрузки дополнительных компонентов с удалённых серверов и их исполнения как на Windows, так и на Linux. По данным специалиста Socket Оливии Браун, во время работы вредоносный код незаметно инициирует оболочку, получает вторичную полезную нагрузку с набора C2-адресов в доменах.icu и.tech и выполняет её прямо в памяти.

В список вошли следующие репозитории:

  • github.com/stripedconsu/linker;
  • github.com/agitatedleopa/stm;
  • github.com/expertsandba/opt;
  • github.com/wetteepee/hcloud-ip-floater;
  • github.com/weightycine/replica;
  • github.com/ordinarymea/tnsr_ids;
  • github.com/ordinarymea/TNSR_IDS;
  • github.com/cavernouskina/mcp-go;
  • github.com/lastnymph/gouid;
  • github.com/sinfulsky/gouid;
  • github.com/briefinitia/gouid.

Эти модули скрывают обфусцированный загрузчик, способный подгружать исполняемые ELF- и PE-файлы, которые собирают сведения о системе, извлекают данные из браузеров и связываются с управляющими серверами.

Вторичный этап атаки различается в зависимости от ОС: на Linux загружается bash-скрипт, на Windows — исполняемый файл через certutil.exe. Такой подход делает уязвимыми как серверы сборки под Linux, так и рабочие станции с Windows.

Ситуацию усугубляет архитектура Go, допускающая прямой импорт модулей из GitHub, где легко создать репозиторий с названием, имитирующим легитимный пакет, что повышает риск случайного подключения вредоносного кода в проекты. Анализ C2-адресов и структуры кода указывает на единого автора этих пакетов.

Вредоносные модули затрагивают как серверы сборки на Linux, так и рабочие станции с Windows, открывая злоумышленникам возможность удалённого доступа и кражи данных. Совпадение используемых методов и кодовой структуры с предыдущими атаками на Go-пакеты подтверждает, что эта кампания — продолжение уже известных атак на цепочку поставок.

Эксперты подчёркивают, что активное использование таких техник, как обфускация, подмена имён пакетов и скрытая загрузка кода в память, делает подобные угрозы особенно опасными и трудными для обнаружения.