Команда дослідників Socket Security виявила критичну загрозу для екосистеми розробки на Go. Зловмисники розгорнули серію шкідливих пакетів, які використовують метод тайпсквотингу для маскування під легітимні бібліотеки. Атака спрямована переважно на системи Linux та macOS, причому особливу увагу приділено розробникам фінансового сектору.
Масштаб та механізми кібератаки
Дослідження виявило щонайменше сім шкідливих Go-пакетів, які імітують назви популярних бібліотек. Найбільше занепокоєння викликає пакет github[.]com/shallowmulti/hypert, спеціально створений для компрометації систем фінансових організацій. Аналіз показав скоординованість дій зловмисників, що підтверджується використанням однакових методів обфускації коду та уніфікованих назв шкідливих компонентів.
Технічний аналіз шкідливого програмного забезпечення
Виявлені пакети містять функціонал віддаленого виконання коду через обфусковані shell-команди. Зловмисне програмне забезпечення завантажує та виконує скрипти з командного сервера alturastreet[.]icu. Для уникнення виявлення впроваджено годинну затримку між встановленням пакету та активацією шкідливого коду.
Функціональність шкідливого ПЗ
Кінцевою метою атаки є впровадження виконуваного файлу f0eee999, який діє як вторинний завантажувач малварі та бекдор. Основні можливості шкідливого компонента включають:
– Забезпечення персистентності в системі
– Приховане виконання процесів
– Очікування команд від C&C-сервера
– Ексфільтрацію конфіденційних даних та облікових записів
Рекомендації щодо захисту
Для мінімізації ризиків компрометації системи рекомендується:
– Впровадити суворий контроль за встановленням зовнішніх пакетів
– Використовувати автоматизовані інструменти перевірки залежностей
– Проводити регулярний аудит використовуваних бібліотек
– Налаштувати систему моніторингу аномальної активності
Цей інцидент демонструє зростаючу важливість захисту ланцюжків постачання програмного забезпечення та необхідність впровадження комплексних заходів безпеки при роботі з відкритими репозиторіями коду. Організаціям необхідно посилити контроль за процесами розробки та регулярно оновлювати політики безпеки відповідно до актуальних кіберзагроз.
