サイバーセキュリティ研究者が悪意のあるGoモジュールの詳細を公開

サイバーセキュリティ研究者は、パスワード収集、SSH経由での持続的なアクセス作成、およびLinux用のRekoobeバックドア配布を目的とした悪意のあるGoモジュールについての詳細情報を明らかにしました。

悪意のあるGoモジュールがGitHubで偽装

このGoモジュールは、github[.]com/xinfeisoft/cryptoという名前を使用しています。これは正当な「golang.org/x/crypto」コードベースを模倣しており、ターミナルパスワード入力時に入力された秘密情報を遠隔エンドポイントに漏洩させる悪意のあるコードを挿入します。

Rekoobeバックドアの詳細

このモジュールは「ssh/terminal/terminal.go」ファイル内に置かれています。これにより、被害者がReadPassword()関数を使用してパスワードなどの情報を読み込むたびに、その情報がキャプチャされます。

ダウンロードスクリプトの機能

ダウンロードされたスクリプトはLinuxステージャとして機能し、脅威アクターのSSHキーを「/home/ubuntu/.ssh/authorized_keys」ファイルに追加します。また、ファイアウォール制限を緩和するためのiptablesデフォルトポリシーをACCEPTに設定し、外部サーバーから追加のペイロードを取得して、「.mp5」拡張子で偽装します。

Rekoobeバックドアの脅威

このダウンロードされたペイロードの1つは、インターネット接続をテストし、TCPポート443経由でIPアドレス「154.84.63[.]184」に通信しようとするヘルパーです。もう一つのダウンロードされたペイロードはRekoobeと評価されており、2015年から野放図に検出されています。

Goセキュリティチームによる対策

このパッケージはまだpkg.go.devでリストされているものの、Goセキュリティチームは既にこのパッケージを悪意のあるものとしてブロックしています。脅威アクターが「credential edge」ライブラリ（SSHヘルパー、CLI認証プロンプト、データベースコネクタ）やホスティングサーフェイスを通じたインフラストラクチャのローテーションを試みる可能性があるため、防御者は同様のサプライチェーン攻撃に備えるべきです。

元記事: https://thehackernews.com/2026/02/malicious-go-crypto-module-steals.html