![图片[1]安全114-安全在线-安全壹壹肆-网络安全黄页-网络安全百科发现七个恶意的Go软件包在Linux和macOS系统上部署恶意软件](https://www.anquan114.com/wp-content/uploads/2025/01/20250103122601238-image-1024x374.png)
网络安全研究人员正在提醒正在进行的针对Go生态系统的恶意活动,这些模块旨在在Linux和Apple macOS系统上部署加载器恶意软件。
Socket研究员Kirill Boychenko在一份新报告中表示,威胁者至少发布了七个冒充广泛使用的Go库的软件包,包括一个(github[.]com/shallowmulti/hypert),该软件包似乎针对金融部门开发人员。
这些软件包共享重复的恶意文件名和一致的混淆技术,表明一个协调的威胁行为者能够快速转向。
![图片[2]安全114-安全在线-安全壹壹肆-网络安全黄页-网络安全百科发现七个恶意的Go软件包在Linux和macOS系统上部署恶意软件](https://www.anquan114.com/wp-content/uploads/2025/03/20250305222202692-image.png)
虽然它们都继续在官方软件包存储库上可用,但其相应的GitHub存储库(除非“github[.]com/ornatedoctrin/layout”)无法再访问。违规的Go套餐列表如下-
- shallowmulti/hypert(github.com/shallowmulti/hypert)
- shadowybulk/hypert(github.com/shadowybulk/hypert)
- 迟到的星球/hypert(github.com/belatedplanet/hypert)
- thankfulmai/hypert(github.com/thankfulmai/hypert)
- vainreboot/layout(github.com/vainreboot/layout)
- ornatedoctrin/layout(github.com/ornatedoctrin/layout)
- utilizedsun/layout(github.com/utilizedsun/layout)
![图片[3]安全114-安全在线-安全壹壹肆-网络安全黄页-网络安全百科发现七个恶意的Go软件包在Linux和macOS系统上部署恶意软件](https://www.anquan114.com/wp-content/uploads/2025/03/20250305222202620-image.png "发现七个恶意的Go软件包")
Socket的分析发现,假冒软件包包含实现远程代码执行的代码。这是通过运行混淆shell命令来检索和运行托管在远程服务器上的脚本(“alturastreet[.]icu”)来实现的。为了避免检测,远程脚本可能要到一小时后才会被获取。
攻击的最终目标是安装和运行一个可能窃取数据或凭据的可执行文件。
![图片[4]安全114-安全在线-安全壹壹肆-网络安全黄页-网络安全百科发现七个恶意的Go软件包在Linux和macOS系统上部署恶意软件](https://www.anquan114.com/wp-content/uploads/2025/03/20250305222202242-image.png)
在Socket披露另一个针对Go生态系统的软件供应链攻击实例一个月后,该软件包能够允许对手远程访问受感染的系统。
Boychenko指出,重复使用相同的文件名、基于数组的字符串混淆和延迟执行策略强烈表明,一个协调的对手计划坚持和适应。
“发现多个恶意的超和布局包,以及多个回退域,表明了一个为长寿而设计的基础设施,使威胁者能够在域或存储库被列入黑名单或删除时旋转。”
消息来源:thehackernews, 编译:安全114;
本文由 anquan114.com 翻译整理,封面来源于网络;
转载请注明“转自 anquan114.com”并附上原文
© 版权声明
文章版权归原作者所有,转摘请注明出处。文章内容仅代表作者独立观点,不代表安全壹壹肆&安全114的立场,转载目的在于传递网络空间安全讯息。部分素材来源于网络,如有侵权请联系首页管理员删除。
THE END
暂无评论内容