Группировка «охотится» на Go-разработчиков: как отложенное выполнение кода превращает легитимные проекты в бэкдоры

Исследователи в сфере кибербезопасности бьют тревогу: злоумышленники запустили целевую кампанию против экосистемы Go, используя технику тайпсквоттинга и поддельные модули для внедрения вредоносного ПО. Распространение идёт в официальном репозитории Go, где поддельные пакеты маскируются под популярные библиотеки, а их авторы нацелены, в том числе, на разработчиков финансовых приложений. Само ПО ориентировано на системы под управлением Linux и macOS, и первый настораживающий элемент — повторяющиеся названия файлов, что указывает на общую стратегию и единый центр управления.

Эксперты компании Socket выявили минимум семь фейковых пакетов, включая «github[.]com/shallowmulti/hypert» и ряд аналогичных, замаскированных под «layout». Почти во всех случаях применяются идентичные методы обфускации, чтобы усложнить анализ кода. GitHub уже удалил большинство репозиториев (кроме «ornatedoctrin/layout»), но сами пакеты по-прежнему можно найти в Go-экосистеме. Главная цель злоумышленников — обеспечить себе удалённое выполнение команд, а также установить вредоносный исполняемый файл, похищающий пользовательские данные и учетные записи.

Ключевой приём атаки — отложенная загрузка кода: через час после запуска модуля с удалённого сервера «alturastreet[.]icu» скачивается и исполняется вредоносный скрипт. Такой временной лаг помогает обойти системы обнаружения, которые, зачастую, не отслеживают активности после первых минут работы приложения. Дополнительное усложнение вносит маскировка строк в массивах и повторяющиеся имена файлов, что сильно затрудняет анализ и классические способы обнаружения угроз.

По словам аналитиков, это уже вторая вредоносная кампания за последний месяц, специально нацеленная на Go-разработчиков. Наличие нескольких доменов, репозиториев и инструментов отвода глаз говорит о том, что мы имеем дело с хорошо спланированной и финансируемой группировкой, способной быстро менять тактику и продолжать компрометацию проектов даже при блокировке базовых ресурсов.