O módulo Rogue Go dobra como Fast SSH Brute-Forcer, envia senhas roubadas via telegrama

A equipe de pesquisa de ameaças da Socket descobriu um módulo GO enganoso chamado Golang-Random-IP-SSH-Bruteforce, que se disfarça de uma eficiente ferramenta de forçante bruto SSH, mas secretamente exfiltrações roubadas de credenciais roubadas ao seu criador.

Publicado em 24 de junho de 2022, este pacote permanece ativo no ecossistema e no Github, apesar dos esforços para solicitar sua remoção e suspensão das contas associadas.

O módulo opera gerando endereços IPv4 aleatórios, investigando a porta TCP aberta 22 com um breve limite e lançando tentativas simultâneas de autenticação usando uma lista de palavras local codificada de pares fracos do nome de usuário.

Descoberta de pacote malicioso

Após o primeiro login bem -sucedido, ele transmite o IP de destino, nome de usuário e senha para um predefinido Telegram Bot através de uma solicitação HTTPS, entregando efetivamente qualquer acesso inicial ao ator de ameaças.

Esse design aproveita os usuários involuntários para executar a digitalização e adivinhação distribuídos, descarregando os riscos computacionais e legais enquanto canalizava sucessos para um único ponto de controle.

O código emprega ssh.InscureInoreHostKey () para ignorar a verificação da identidade do servidor, permitindo conexões rápidas sem verificações de segurança e saídas após a exfiltração para minimizar a detecção.

A lista de palavras incorporada se concentra em inadimplentes comuns como “root” e “admin” emparelhados com entradas como “toor”, “framboesa”, “dietpi” e “alpine”, direcionando dispositivos de IoT expostos, computadores de tábua única e hospedeiros de linux com pouca configuração.

Essa abordagem garante um baixo ruído, operação offline até um acerto e uma negação plausível como uma ferramenta de segurança ofensiva legítima.

Perfil do ator de ameaças

O agressor, operando sob o alias do GitHub Illdieanyway (também conhecido como G3TT), é avaliado com alta confiança como um indivíduo que fala russo, baseado em artefatos de língua russa em repositórios, incluindo Readmes completos e ferramentas específicas de Vkontakte, como VK_inviter.

Seu portfólio inclui outros utilitários ofensivos, como scanners de portas, um forçador bruto de phpmyadmin com retornos de chamada de telegrama e a estrutura Selica-C2, sugerindo potencial para a construção de botnets a partir de acessos SSH colhidos.

Embora não exista uma ligação direta de código entre este módulo e Selica-C2, as ferramentas podem sinergizar para atividades pós-exploração como implantação da carga útil ou estadiamento de ransomware.

A execução deste pacote expõe os operadores a riscos significativos, incluindo violações legais da varredura não autorizada, a lista negra do ISP e a ironia de render suas descobertas ao ator através do Bot @sshzxc_bot ativo, que entrega dados para bate -papo 1159678884 controlado por usuário @io_ping.

No subterrâneo criminal, essas credenciais são valiosas para espionagem, criptominamento ou giro em redes, amplificando o impacto do módulo além das execuções individuais.

Para mitigar, as organizações devem aplicar análises de código para ferramentas de terceiros, monitorar o tráfego de saída para as APIs de mensagens e implantar detecções para padrões como pontos de extremidade do Telegram e configurações SSH inseguras.

De acordo com o relatórioAs ferramentas orientadas pela AI da Socket, incluindo seu aplicativo GitHub e CLI, fornecem defesas proativas, digitalizando comportamentos de risco em dependências.

Este incidente destaca uma tendência emergente de serviços públicos de código aberto que exploram a confiança nas cadeias de suprimentos, pedindo aos desenvolvedores que verifiquem os pacotes minuciosamente e adotem controles de segurança em camadas para impedir a participação inadvertida em campanhas maliciosas.

Indicadores de compromisso (IOCs)

Encontre esta notícia interessante! Siga -nosGoogle NewsAssim,LinkedIneXPara obter atualizações instantâneas!