Underc0de - La Casa de los Informáticos

Los investigadores de ciberseguridad han descubierto una nueva campaña de malware en la cadena de suministro que afecta directamente a desarrolladores que utilizan el lenguaje Go (Golang) y el ecosistema npm. Se han identificado 11 paquetes maliciosos de Go diseñados específicamente para descargar cargas útiles adicionales desde servidores remotos, comprometiendo tanto sistemas Windows como Linux. Además, dos bibliotecas npm fraudulentas están siendo utilizadas para destruir entornos de desarrollo completos.

Paquetes Go maliciosos: ejecución remota y malware multiplataforma

El hallazgo fue realizado por Olivia Brown, investigadora de seguridad en Socket, quien explicó que estos paquetes contienen código que, durante el tiempo de ejecución, genera silenciosamente un shell, extrae una carga útil de segunda etapa desde un conjunto rotativo de dominios de comando y control (C2), y la ejecuta directamente en memoria.

Citar"Los puntos finales C2 utilizan dominios .icu y .tech para evitar detección, y la carga maliciosa se ejecuta sin dejar rastros en disco", detalló Brown.

Los 11 paquetes identificados en el ecosistema Go son:

• github.com/stripedconsu/linker
• github.com/agitatedleopa/stm
• github.com/expertsandba/opt
• github.com/wetteepee/hcloud-ip-floater
• github.com/weightycine/replika
• github.com/ordinarymea/tnsr_ids
• github.com/ordinarymea/TNSR_IDS
• github.com/cavernouskina/mcp-go
• github.com/lastnymph/gouid
• github.com/sinfulsky/gouid
• github.com/briefinitia/gouid

Estos paquetes contienen un cargador ofuscado capaz de recuperar archivos binarios ELF para Linux y archivos ejecutables PE para Windows. Las cargas útiles de segunda etapa permiten:

• Recopilar información del host.
• Acceder a datos del navegador web.
• Enviar información robada al servidor C2 del atacante.

Esto hace que tanto los servidores de compilación en Linux como las estaciones de trabajo en Windows estén en riesgo de ser comprometidos.

La descentralización de Go: un riesgo de seguridad en la cadena de suministro

Un factor que agrava esta amenaza es la naturaleza descentralizada del ecosistema Go, donde los módulos pueden ser importados directamente desde repositorios en GitHub. Esta libertad ha sido aprovechada por actores maliciosos que crean paquetes con nombres similares a módulos legítimos, explotando lo que se conoce como confusión de nombres.

Citar"Los atacantes manipulan cuidadosamente los nombres de sus módulos para parecer confiables a simple vista, aumentando la posibilidad de que desarrolladores integren código malicioso sin darse cuenta", advirtió Socket.

Se sospecha que todos los paquetes maliciosos están vinculados a un único actor de amenazas, debido a similitudes en el código y reutilización de infraestructura de comando y control.

Bibliotecas npm maliciosas que destruyen sistemas de desarrollo

A la par del descubrimiento en Go, también se identificaron dos paquetes maliciosos publicados en el registro npm: naya-flore y nvlore-hsc. Estas bibliotecas se hacen pasar por librerías de sockets para WhatsApp, pero en realidad incorporan funcionalidades destructivas.

Ambas bibliotecas, que acumulan más de 1,110 descargas, contienen un interruptor de apagado basado en números de teléfono. Al ejecutarse, el script verifica si el número de teléfono del dispositivo está en una base de datos remota (almacenada en un repositorio de GitHub). Si no lo está, el malware ejecuta el comando destructivo:


Esto elimina de manera recursiva todos los archivos del sistema, provocando la pérdida total del entorno de desarrollo. También se observó la presencia de una función para exfiltrar datos del dispositivo, aunque las llamadas a dicha función están actualmente comentadas.

Acceso no autorizado a repositorios privados

El investigador Kush Pandya alertó sobre la inclusión de un token de acceso personal de GitHub codificado dentro de naya-flore, el cual permite el acceso no autorizado a repositorios privados. Aunque el uso específico de este token aún no está claro, su presencia puede significar:

• Desarrollo en progreso.
• Funcionalidad planeada que no fue activada.
• Uso en otras partes del código no publicadas.

Esto demuestra que los actores de amenazas están incorporando funciones avanzadas de persistencia, espionaje y destrucción en bibliotecas aparentemente inofensivas.

Tendencias y riesgos persistentes en el ecosistema de software abierto

El uso de repositorios de código abierto como canales de distribución de malware continúa en ascenso. La tendencia revela que los atacantes se apoyan en tácticas conocidas, como:

• Minimizar el número de archivos para evitar sospechas.
• Usar scripts de instalación para ejecutar malware.
• Aplicar ofuscación avanzada para evadir detección.
• Integrar mecanismos de exfiltración discretos.

Según Fortinet FortiGuard Labs, esta tendencia no se detendrá:

Citar"A medida que el uso del software de código abierto (OSS) continúe creciendo, también lo hará la superficie de ataque. La vigilancia, análisis de paquetes y control de dependencias se vuelve más importante que nunca".

Recomendaciones para desarrolladores y equipos de seguridad

• Revisar manualmente todas las dependencias externas antes de integrarlas en entornos de producción.
• Evitar importar directamente desde GitHub sin verificar la reputación del repositorio.
• Automatizar el escaneo de paquetes con herramientas como Socket, Snyk o Sonatype.
• Establecer políticas de análisis de código fuente y firmas digitales para dependencias críticas.
• Realizar auditorías periódicas del entorno de desarrollo y pipelines de CI/CD

Fuente: https://thehackernews.com/