Les acteurs de la menace sont des packages GO populaires populaires tels que Hypert et la mise en page pour déposer des logiciels malveillants sur les systèmes Linux et MacOS.
Dans une nouvelle campagne de typosquat, les acteurs de la menace sont vus en utilisant des packages GO malveillants se faisant passer pour des bibliothèques populaires pour installer des logiciels malveillants sur des systèmes Linux et macOS sans méfiance.
Des chercheurs de la plate-forme de cybersécurité de la chaîne d’approvisionnement logicielle, Socket, ont trouvé sept packages imitants des bibliothèques GO largement utilisées comme Hypert et la mise en page pour tromper les développeurs.
« Ces forfaits partagent des noms de fichiers malveillants répétés et des techniques d’obscurcissement cohérentes, suggérant un acteur de menace coordonné capable de pivoter rapidement », ont déclaré des chercheurs de socket dans un article de blog.
Typosquatting est une technique que les attaquants utilisent pour créer des sites Web, des domaines ou des packages de logiciels malveillants avec des noms qui ressemblent étroitement à ceux légitimes. En exploitant des erreurs de frappe courantes ou de légères variations, les attaquants incitent les utilisateurs à télécharger des logiciels malveillants, à révéler des informations sensibles ou à installer un logiciel nocif.
La suppression desdits packages malveillants du miroir du module Go a été demandé, ainsi que le signalisation des référentiels et comptes d’utilisateurs GitHub associés, a ajouté le poste.
Hypert typosquatting, mise en page pour RCE et plus
Selon la Discovery, les attaquants ont cloné les populaires des développeurs de bibliothèques «Hypert» utilisés pour tester les clients API HTTP, libérant quatre fausses versions intégrées avec des fonctions d’exécution de code distantes. Les clones de typosquat utilisés inclus-github.com/shallowmulti/hypert, github.com/shadowybulk/hypert, github.com/belatedplanet/hypert et github.com/thankfulmai/hypert.
Un package particulier, «—– ShallowMulti / Hypert», a exécuté des commandes de shell pour télécharger et exécuter un script malveillant à partir d’une variation de la faute de frappe (Alturastreet (.) ICU.) Du domaine bancaire légitime Alturacu.com.
Trois packages supplémentaires ont été trouvés imitant la bibliothèque légitime de «mise en page» avec des clones – github.com/vainreboot/layout,github.com/ornedoctrin/layout et github.com/utilizedsun/layout.
Ces packages ont exécuté des commandes de shell caché pour télécharger et exécuter des scripts malveillants pour récupérer et exécuter les logiciels malveillants ultimes basés sur ELF sur les systèmes Linux et MacOS.
La campagne est faite sur mesure pour la persistance
L’utilisation répétée de noms de fichiers identiques, l’obscurcissement des cordes basé sur une table et les tactiques d’exécution retardées suggèrent fortement un adversaire coordonné qui prévoit de persister et de s’adapter, ont ajouté les chercheurs.
La présence de plusieurs packages Hypert et de mise en page malveillants ainsi que plusieurs domaines de secours suggèrent également une infrastructure résiliente. Cette configuration permettra aux acteurs de la menace de s’adapter rapidement, garantissant des opérations continues même si un domaine ou un référentiel est mis sur liste noire ou supprimée.
« Compte tenu de la capacité démontrée de l’acteur de menace à télécharger des forfaits malveillants, il y a une raison forte de soupçonner que des tactiques, des techniques et des procédures similaires (TTP) continueront à infiltrer l’écosystème Go », ont noté les chercheurs. Peu de choses que les développeurs peuvent faire pour déjouer la campagne comprennent l’adoption d’outils de numérisation en temps réel, les audits de code et la gestion minutieuse de la dépendance contre les tentatives de typosquat.
