Una sola importación al proyecto: los servidores Windows y Linux están bajo el control de hackers
La vulnerabilidad se ve agravada por el modelo de importación descentralizada desde GitHub.
Investigadores en ciberseguridad han identificado 11 paquetes maliciosos para el lenguaje Go, diseñados para descargar componentes adicionales desde servidores remotos y ejecutarlos tanto en Windows como en Linux. Según la especialista de Socket, Olivia Brown, durante su ejecución el código malicioso inicia de forma sigilosa una shell, obtiene una carga útil secundaria desde un conjunto de direcciones C2 en los dominios .icu y .tech, y la ejecuta directamente en la memoria.
La lista incluye los siguientes repositorios:
- github.com/stripedconsu/linker;
- github.com/agitatedleopa/stm;
- github.com/expertsandba/opt;
- github.com/wetteepee/hcloud-ip-floater;
- github.com/weightycine/replica;
- github.com/ordinarymea/tnsr_ids;
- github.com/ordinarymea/TNSR_IDS;
- github.com/cavernouskina/mcp-go;
- github.com/lastnymph/gouid;
- github.com/sinfulsky/gouid;
- github.com/briefinitia/gouid.
Estos módulos ocultan un cargador ofuscado capaz de descargar archivos ejecutables ELF y PE, que recopilan información del sistema, extraen datos de navegadores y se comunican con servidores de mando y control.
La segunda fase del ataque varía según el sistema operativo: en Linux se descarga un script bash, mientras que en Windows se obtiene un archivo ejecutable mediante certutil.exe. Este método deja expuestos tanto a los servidores de compilación en Linux como a las estaciones de trabajo con Windows.
La situación se agrava debido a la arquitectura de Go, que permite la importación directa de módulos desde GitHub, donde es sencillo crear un repositorio con un nombre que imite a un paquete legítimo, aumentando así el riesgo de que código malicioso sea incorporado por accidente en proyectos. El análisis de las direcciones C2 y de la estructura del código apunta a un único autor de estos paquetes.
Los módulos maliciosos afectan tanto a servidores de compilación en Linux como a estaciones de trabajo en Windows, otorgando a los atacantes la posibilidad de acceso remoto y robo de datos. La coincidencia en los métodos empleados y en la estructura del código con ataques previos a paquetes de Go confirma que esta campaña es una continuación de ataques ya conocidos a la cadena de suministro.
Los expertos subrayan que el uso activo de técnicas como la ofuscación, la suplantación de nombres de paquetes y la carga encubierta de código en memoria hace que este tipo de amenazas sean especialmente peligrosas y difíciles de detectar.
Las huellas digitales son tu debilidad, y los hackers lo saben