Cybersecurity -onderzoekers hebben een set van 11 kwaadwillende GO -pakketten ontdekt die zijn ontworpen om extra payloads van externe servers te downloaden en deze op zowel Windows- als Linux -systemen uit te voeren.
“Tijdens runtime spawnt de code in stilte een shell, trekt een tweede fase lading van een uitwisselbare set .icu en .tech Command-and-Control (C2) eindpunten en voert deze uit in het geheugen,” zei Socket Security-onderzoeker Olivia Brown.
De lijst met geïdentificeerde pakketten is hieronder –
- github.com/stripedconsu/linker
- github.com/agitatedleopa/stm
- github.com/expertsandba/opt
- github.com/wetteepee/hcloud-ip-floater
- github.com/weightycine/Replika
- github.com/ordinarymea/tnsr_ids
- github.com/ordinarymea/tnsr_ids
- github.com/cavernouskina/mcp-go
- github.com/lastnymph/gouid
- github.com/sinfulsky/gouid
- github.com/briefinitia/gouid
De pakketten verbergen een verdoezelde lader die functionaliteit herbergt om de tweede fase ELF en Portable Executable (PE) binaries op te halen, die op zijn beurt host-informatie, toegang tot webbrowsergegevens en Beacon naar zijn C2-server kunnen verzamelen.
“Omdat de payload op de tweede fase een lading van de bash-script voor Linux-systemen levert en Windows-uitvoerbare bestanden ophaalt via certutil.exe, zijn beide Linux Build-servers en Windows-werkstations vatbaar voor een compromis,” zei Brown.
Complicerende zaken is het gedecentraliseerde karakter van het Go -ecosysteem, waardoor modules direct kunnen worden geïmporteerd uit GitHub -repositories, wat een significante verwarring van ontwikkelaars veroorzaakt bij het zoeken naar een pakket op PKG.GO.DEV kan verschillende vergelijkbare genoemde modules retourneren, hoewel ze misschien niet noodzakelijkerwijs kwaadaardig van aard zijn.
“Aanvallers exploiteren de verwarring, die hun kwaadaardige module -naamruimten zorgvuldig maken om in één oogopslag betrouwbaar te lijken, waardoor de waarschijnlijkheidsontwikkelaars de destructieve code onbedoeld in hun projecten integreren,” zei Socket.
Er wordt beoordeeld dat de pakketten het werk zijn van een enkele dreigingsacteur vanwege C2 -hergebruik en het formaat van de code. De bevindingen onderstrepen de aanhoudende supply chain-risico’s die voortvloeien uit de platformonafhankelijke aard van Go to Push-malware.
De ontwikkeling valt samen met de ontdekking van twee NPM-pakketten, Naya-Flore en NVLore-HSC, die zich vermomt als WhatsApp Socket-bibliotheken, terwijl hij een telefoonnummergebaseerde kill-schakelaar heeft opgenomen die op afstand ontwikkelaarssystemen kan wissen.
De pakketten, die gezamenlijk zijn gedownload van meer dan 1.110 downloads, blijven beschikbaar in het NPM -register vanaf het schrijven. Beide bibliotheken werden begin juli 2025 gepubliceerd door een gebruiker met de naam “Nayflore”.
Centraal in hun bewerkingen staat hun vermogen om een externe database met Indonesische telefoonnummers uit een Github -repository op te halen. Nadat het pakket is uitgevoerd, controleert het eerst of de huidige telefoon zich in de database bevindt en, zo niet, gaat het opnieuw om alle bestanden recursief te verwijderen met behulp van de opdracht “rm -rf *” na een whatsapp -pairingproces.
De pakketten bleken ook een functie te bevatten om apparaatinformatie te exfiltreren naar een extern eindpunt, maar oproepen naar de functie zijn opgemerkt, wat suggereert dat de dreigingsacteur achter het schema de lopende ontwikkeling signaleert.
“Naya-Flore bevat ook een hardcode Github Personal Access token dat ongeautoriseerde toegang biedt tot particuliere repositories,” zei beveiligingsonderzoeker Kush Pandya. “Het doel van dit token blijft onduidelijk van de beschikbare code.”
“De aanwezigheid van een ongebruikt GitHub -token kan wijzen op onvolledige ontwikkeling, geplande functionaliteit die nooit is geïmplementeerd, of gebruik in andere delen van de codebase die niet in deze pakketten zijn opgenomen.”
Open-source repositories blijven een aantrekkelijk malwaredistributiekanaal in softwarevoedingsketens, met de pakketten die zijn ontworpen om gevoelige informatie te stelen en in sommige gevallen zelfs te richten op cryptocurrency-portefeuilles.
“Hoewel de algehele tactieken niet significant zijn geëvolueerd, blijven aanvallers vertrouwen op bewezen technieken, zoals het minimaliseren van het aantal bestanden, het gebruik van installatiescripts en het gebruik van discrete data -exfiltratiemethoden die de impact maximaliseren,” zei Fortinet Fortiguard Labs.
“Een voortdurende toename van obfuscatie merkt ook verder op het belang van waakzaamheid en voortdurende monitoring vereist door gebruikers van deze services. En naarmate OSS blijft groeien, zal ook de aanval aan de oppervlakte komen voor supply chain -bedreigingen.”
