Trong một chiến dịch độc hại nhắm vào hệ sinh thái Go, các gói Go giả mạo đã được phát hiện, chúng triển khai mã độc trên các hệ thống Linux và macOS. Dưới đây là các điểm chính:
-
Chiến dịch Typosquatting: Các kẻ tấn công sử dụng các gói Go giả mạo để triển khai mã độc. Những gói này mạo danh các thư viện Go phổ biến, chẳng hạn như
github.com/shallowmulti/hypert, nhắm đến các nhà phát triển trong lĩnh vực tài chính. -
Các gói độc hại: Đã xác định ít nhất bảy gói, bao gồm:
github.com/shallowmulti/hypertgithub.com/shadowybulk/hypertgithub.com/belatedplanet/hypertgithub.com/thankfulmai/hypertgithub.com/vainreboot/layoutgithub.com/ornatedoctrin/layoutgithub.com/utilizedsun/layout
- Kỹ thuật mã hóa: Các gói độc hại sử dụng mã hóa chuỗi dựa trên mảng và kỹ thuật thực thi bị trì hoãn để tránh bị phát hiện. Tệp script từ xa không được tải về cho đến khi một giờ trôi qua, điều này làm cho các công cụ bảo mật khó theo dõi hơn.
-
Thực thi mã từ xa: Khi được nhập, các gói độc hại thực thi một lệnh shell mã hóa để tải về và chạy một script được lưu trữ trên một máy chủ từ xa (
alturastreet[.]icu). Script này tải về và cài đặt một tệp ELF ẩn danh được thiết kế để chạy ngầm trên các hệ thống Linux và macOS. -
Chiến lược Nhắm mục tiêu: Kẻ tấn công có vẻ như đang nhắm đến các nhà phát triển và tổ chức tài chính, được chứng minh qua việc sử dụng miền mô phỏng trang web hợp pháp của Altura Credit Union (
alturacu.com). - Rủi ro Chuỗi cung ứng: Việc phát hiện này nhấn mạnh một rủi ro lớn trong chuỗi cung ứng, đặc biệt là đối với các nhà phát triển làm việc với các gói Go mã nguồn mở, ứng dụng doanh nghiệp, APIs và các quy trình tích hợp liên tục/triển khai liên tục (CI/CD).
- Khuyến nghị: Các nhà phát triển được khuyến nghị xác minh thủ công nguồn gói của họ trước khi cài đặt để tránh trở thành nạn nhân của những gói độc hại này.
Nguồn: https://thehackernews.com/2025/03/seven-malicious-go-packages-found.html
