Siete Paquetes Maliciosos de Go Descubiertos Desplegando Malware en Sistemas Linux y macOS

Siete Paquetes Maliciosos de Go Descubiertos Desplegando Malware en Sistemas Linux y macOS
Seguridad Informática Autor: Condorsoft

En un reciente descubrimiento que ha sacudido a la comunidad tecnológica, investigadores en ciberseguridad han alertado sobre una campaña maliciosa que está afectando al ecosistema de Go. Esta campaña utiliza módulos con nombres similares a bibliotecas populares de Go, una técnica conocida como typosquatting, para engañar a los desarrolladores y desplegar malware en sistemas Linux y Apple macOS.

Entre los paquetes maliciosos identificados, se encuentra uno que parece estar dirigido específicamente a desarrolladores del sector financiero. Estos paquetes, que continúan disponibles en el repositorio oficial de paquetes de Go, han sido diseñados con técnicas de ofuscación consistentes y nombres de archivos maliciosos repetidos, lo que sugiere la presencia de un actor de amenaza coordinado y capaz de adaptarse rápidamente.

Los paquetes maliciosos incluyen código para lograr la ejecución remota de comandos. Esto se consigue ejecutando un comando de shell ofuscado que recupera y ejecuta un script alojado en un servidor remoto. Para evadir la detección, el script remoto no se recupera hasta que ha transcurrido una hora desde la instalación del paquete. El objetivo final de este ataque es instalar y ejecutar un archivo ejecutable que podría robar datos o credenciales.

Este descubrimiento llega un mes después de que se revelara otro caso de ataque a la cadena de suministro de software en el ecosistema de Go, donde un paquete malicioso era capaz de otorgar acceso remoto a los sistemas infectados. La repetición de tácticas como el uso de nombres de archivos idénticos, la ofuscación de cadenas basada en arrays y la ejecución retardada, sugiere un adversario coordinado con planes de persistir y adaptarse.

La infraestructura detrás de estos ataques, que incluye múltiples paquetes maliciosos y dominios de respaldo, está diseñada para la longevidad, permitiendo al actor de amenaza pivotar siempre que un dominio o repositorio sea bloqueado o eliminado. Este tipo de ataques subraya la importancia de la vigilancia y la verificación de los paquetes y bibliotecas que los desarrolladores utilizan en sus proyectos, especialmente en un ecosistema tan dinámico y en constante crecimiento como el de Go.