Хакерский инструмент превратил пользователей в бесплатных дропов

26.08.2025

Исследователи из Socket обнаружили необычную схему: под видом инструмента для перебора SSH-паролей распространяется Go-пакет, который вместо обещанного результата работает в интересах своего автора. Пользователь, скачивающий модуль golang-random-ip-ssh-bruteforce, думает, что получает хакерский тул, а на деле становится пешкой в чужой игре.

Программа действительно сканирует сеть, подбирает пароли и даже входит на уязвимые устройства. Но как только первый доступ получен, «добыча» тут же уходит в приватный Telegram-чат злоумышленника — вместе с IP-адресом, логином и паролем. После этого утилита просто завершает работу, оставляя «оператору» лишь разочарование и риск попасть под уголовное дело за участие в атаке.

Встроенный словарь явно нацелен на IoT-железо и плохо защищённые Linux-хосты: root/toor, admin/123456, raspberry, alpine и десятки аналогичных комбинаций. Всё это ускоряет нахождение первых слабых целей, а благодаря отключённой проверке хост-ключей атака выглядит максимально простой. Фактически пользователь сам запускает ботнет на службе у автора модуля, даже не подозревая об этом.

Следы ведут к российскому разработчику под ником IllDieAnyway, чьи GitHub-репозитории полны наступательных инструментов: от порт-сканеров и утилит для phpMyAdmin до C2-фреймворков и DDoS-скриптов. Все они работают по одной схеме — результаты атак пересылаются напрямую в Telegram-каналы создателя. Эксперты подчеркивают: риски здесь двойные — и юридические, и технические. Каждый, кто запускает такой пакет, сам становится жертвой, отдавая свои ресурсы и результаты атак чужому оператору.