Des chercheurs en cybersécurité ont révélé les détails d'un module Go malveillant, github[.]com/xinfeisoft/crypto, qui usurpe l'identité du projet légitime golang.org/x/crypto. Ce module est conçu pour dérober les mots de passe, établir un accès persistant via SSH et déployer la backdoor Linux Rekoobe.
Le module injecte du code malveillant qui intercepte les secrets saisis lors des invites de mot de passe du terminal, les exfiltrant vers un point de terminaison distant. En réponse, il télécharge et exécute un script shell. Ce script agit comme un stager Linux, ajoutant la clé SSH de l'attaquant au fichier /home/ubuntu/.ssh/authorized_keys, modifiant les politiques par défaut d'iptables pour accepter toutes les connexions afin d'assouplir les restrictions du pare-feu, et récupérant des charges utiles supplémentaires depuis un serveur externe, masquées avec l'extension .mp5.
Parmi les charges utiles téléchargées, l'une est un programme d'aide qui teste la connectivité Internet et tente de communiquer avec l'adresse IP 154.84.63[.]184 sur le port TCP 443, agissant probablement comme un outil de reconnaissance ou un chargeur. La seconde charge utile est identifiée comme Rekoobe, un cheval de Troie Linux connu et actif depuis au moins 2015. Rekoobe est capable de recevoir des commandes d'un serveur contrôlé par l'attaquant pour télécharger d'autres charges utiles, voler des fichiers et exécuter un shell inversé. Il a été utilisé par des groupes étatiques chinois, tels qu'APT31, en août 2023.
Bien que le paquet ait été listé sur pkg.go.dev, l'équipe de sécurité Go a pris des mesures pour bloquer cette bibliothèque malveillante. Les défenseurs doivent anticiper des attaques similaires de la chaîne d'approvisionnement ciblant d'autres bibliothèques critiques pour les informations d'identification (assistants SSH, invites d'authentification CLI, connecteurs de base de données) et s'attendre à une utilisation accrue de l'indirection via des surfaces d'hébergement pour faire pivoter l'infrastructure sans republier le code.