- 19,427
- 40
- 8 Ноя 2022
Как отложенное выполнение кода превращает легитимные приложения в бэкдоры.
Исследователи в области кибербезопасности предупреждают о новой вредоносной кампании, нацеленной на экосистему Go. Атакующие используют метод тайпсквоттинга, создавая фальшивые модули, которые внедряют вредоносное ПО на устройства под управлением Linux и macOS.
Эксперты компании Socket Для просмотра ссылки Войдиили Зарегистрируйся не менее семи поддельных пакетов, имитирующих популярные библиотеки Go. Один из них, «github[.]com/shallowmulti/hypert», ориентирован на разработчиков в финансовом секторе. Анализ показал, что все вредоносные модули используют повторяющиеся имена файлов и схожие методы обфускации кода, что указывает на организованную группу злоумышленников, способных быстро менять тактику.
Хотя эти вредоносные пакеты по-прежнему доступны в официальном репозитории Go, их связанные GitHub-репозитории (за исключением «github[.]com/ornatedoctrin/layout») были удалены. В список обнаруженных угроз входят:
Конечная цель атаки — установка исполняемого файла, способного похищать данные или учётные данные пользователей.
Эта вредоносная кампания была выявлена спустя месяц после обнаружения исследователями Для просмотра ссылки Войдиили Зарегистрируйся , когда вредоносный пакет в экосистеме Go обеспечивал злоумышленникам удалённый доступ к заражённым системам.
Эксперты отмечают, что злоумышленники активно используют одинаковые названия файлов, маскировку строк в массивах и отложенную загрузку, что говорит об их намерении сохранить присутствие в системе. Наличие нескольких доменов и альтернативных репозиториев указывает на хорошо спланированную инфраструктуру, позволяющую быстро адаптироваться в случае блокировки используемых ресурсов.
Исследователи в области кибербезопасности предупреждают о новой вредоносной кампании, нацеленной на экосистему Go. Атакующие используют метод тайпсквоттинга, создавая фальшивые модули, которые внедряют вредоносное ПО на устройства под управлением Linux и macOS.
Эксперты компании Socket Для просмотра ссылки Войди
Хотя эти вредоносные пакеты по-прежнему доступны в официальном репозитории Go, их связанные GitHub-репозитории (за исключением «github[.]com/ornatedoctrin/layout») были удалены. В список обнаруженных угроз входят:
- shallowmulti/hypert (github.com/shallowmulti/hypert)
- shadowybulk/hypert (github.com/shadowybulk/hypert)
- belatedplanet/hypert (github.com/belatedplanet/hypert)
- thankfulmai/hypert (github.com/thankfulmai/hypert)
- vainreboot/layout (github.com/vainreboot/layout)
- ornatedoctrin/layout (github.com/ornatedoctrin/layout)
- utilizedsun/layout (github.com/utilizedsun/layout)
Конечная цель атаки — установка исполняемого файла, способного похищать данные или учётные данные пользователей.
Эта вредоносная кампания была выявлена спустя месяц после обнаружения исследователями Для просмотра ссылки Войди
Эксперты отмечают, что злоумышленники активно используют одинаковые названия файлов, маскировку строк в массивах и отложенную загрузку, что говорит об их намерении сохранить присутствие в системе. Наличие нескольких доменов и альтернативных репозиториев указывает на хорошо спланированную инфраструктуру, позволяющую быстро адаптироваться в случае блокировки используемых ресурсов.
- Источник новости
- www.securitylab.ru
