概要
サイバー犯罪者は、Goのオープンソースエコシステムを利用して、パスワードを盗むだけでなく、リノブック(Rekoobe)Linuxバックドアをインストールする悪意のある暗号モジュールを展開しています。このパッケージは、Goの信頼できる暗号ライブラリを模倣し、通常のパスワード入力を完全な攻撃チェーンに変換します。
脅威の詳細
Socket Threat Research Teamは、GitHub上の偽モジュール xinfeisoft/crypto を特定しました。このモジュールは、公式のgolang.org/x/cryptoリポジトリ構造とサブパッケージを模倣しています。
攻撃チェーン
アプリケーションが悪意のあるReadPassword関数を呼び出すとき、この関数は通常通りユーザーの入力した秘密情報をキャプチャします。その後、平文パスワードを/usr/share/nano/.lockに書き込みます。
通信とステージング
- 攻撃者はGitHub Rawを使用してインフラストラクチャを回転させることができます。
- 取得されたシェルスクリプトは、/home/ubuntu/.ssh/authorized_keysにSSHキーを追加し、iptablesのデフォルトポリシーをACCEPTに設定します。
検出と防御
SocketのAIスキャナは、このパッケージを既知のマルウェアとしてフラグ付けしています。Goモジュールのルートを供給チェーン境界として扱い、go.modおよびgo.sumの変更を慎重にレビューし、HTTPやシェル実行機能を導入する新しいユーティリティ依存関係を厳密に検討することが推奨されています。
インジケーターオブコムプロイス(IOC)
- 悪意のあるGoモジュール: github[.]com/xinfeisoft/crypto
- 脅威アクターのGitHubアカウント: github[.]com/xinfeisoft
- GitHubホストされた構成: https://raw.githubusercontent[.]com/xinfeisoft/vue-element-admin/refs/heads/main/public/update.html
- ペイロード配信エンドポイント:
- https://img.spoolsv[.]cc/seed.php
- http://img.spoolsv[.]cc/snn50.txt
- https://img.spoolsv[.]cc/sss.mp5
- https://img.spoolsv[.]cc/555.mp5
- https://img.spoolsv[.]net/seed.php (歴史的)