恶意Go加密模块窃取密码并部署Rekoobe后门
创始人
2026-03-01 06:12:04
0

网络安全研究人员披露了一个恶意Go模块的详细信息,该模块旨在窃取密码、通过SSH创建持久访问权限,并投放名为Rekoobe的Linux后门。

该Go模块github[.]com/xinfeisoft/crypto伪装成合法的"golang.org/x/crypto"代码库,但注入了恶意代码,负责将通过终端密码提示输入的秘密信息泄露到远程端点,获取响应中的shell脚本并执行。

Socket安全研究员Kirill Boychenko表示:"这种活动符合命名空间混淆和模拟合法golang.org/x/crypto子仓库的特征(及其GitHub镜像github.com/golang/crypto)。合法项目将go.googlesource.com/crypto标识为规范版本,将GitHub视为镜像,威胁行为者滥用这一区别使github.com/xinfeisoft/crypto在依赖关系图中看起来很常规。"

具体而言,后门被放置在"ssh/terminal/terminal.go"文件中,因此每当受害者应用程序调用ReadPassword函数时——该函数本应用于从终端读取密码等输入——就会导致交互式秘密信息被捕获。

下载脚本的主要职责是充当Linux阶段器,将威胁行为者的SSH密钥附加到"/home/ubuntu/.ssh/authorized_keys"文件中,将iptables默认策略设置为ACCEPT以试图放松防火墙限制,并从外部服务器检索额外负载,同时用.mp5扩展名伪装它们。

在两个负载中,一个是测试互联网连接并尝试通过TCP端口443与IP地址("154.84.63[.]184")通信的辅助程序。Socket指出,该程序可能作为侦察或加载器运行。

第二个下载的负载被评估为Rekoobe,这是一个已知的Linux木马,自2015年以来在野外被检测到。该后门能够接收来自攻击者控制服务器的命令,下载更多负载、窃取文件并执行反向shell。直到2023年8月,Rekoobe还被APT31等中国国家级组织使用。

虽然该包仍在pkg.go.dev上列出,但Go安全团队已采取措施将该包标记为恶意软件。

Boychenko说:"这种攻击活动很可能会重复,因为这种模式低成本高影响:一个相似的模块钩住高价值边界(ReadPassword),使用GitHub Raw作为轮换指针,然后转向curl | sh阶段和Linux负载投放。"

"防御者应该预期类似的供应链攻击针对其他'凭证边缘'库(SSH助手、CLI认证提示、数据库连接器)以及通过托管服务的更多间接方式来轮换基础设施而无需重新发布代码。"

Q&A

Q1:什么是恶意Go模块github.com/xinfeisoft/crypto?

A:这是一个伪装成合法golang.org/x/crypto代码库的恶意Go模块。它通过命名空间混淆的方式,在依赖关系图中看起来很正常,但实际上注入了恶意代码,用于窃取通过终端输入的密码等敏感信息。

Q2:Rekoobe后门有什么功能?

A:Rekoobe是一个Linux木马,自2015年以来就在野外被发现。它能够接收攻击者控制服务器的命令,执行下载更多恶意负载、窃取文件、建立反向shell等操作,最近还被APT31等中国国家级黑客组织使用。

Q3:这种供应链攻击为什么难以防范?

A:因为攻击者使用低成本高影响的模式:通过相似模块钩住ReadPassword等高价值函数,利用GitHub Raw作为轮换指针,然后通过curl管道执行shell命令投放Linux恶意负载,整个过程看起来很常规且难以察觉。

相关内容

黑天鹅突袭中东!油价、股市...
这个周末,全球投资者都没睡安稳。当地时间2月28日,以色列和美国联...
2026-03-01 09:03:38
老铺黄金涨价!克均价逼近3...
2月28日,中国证券报记者从老铺黄金多个门店获悉,该品牌多款足金饰...
2026-03-01 08:34:45
原创 ...
北京时间3月1日,开拓者93-109不敌黄蜂,目前29胜32负,排...
2026-03-01 07:07:54
美国关税大调整:“有些国家...
最近一周,全球贸易圈被美国的关税调整搅得人心惶惶。上周,美国最高法...
2026-03-01 06:39:22
每周股票复盘:赤峰黄金(6...
截至2026年2月27日收盘,赤峰黄金(600988)报收于39....
2026-03-01 06:39:14
每周股票复盘:江西铜业(6...
截至2026年2月27日收盘,江西铜业(600362)报收于58....
2026-03-01 06:38:33
光大保德信阳光混合A增聘饶...
2月28日,光大保德信基金管理有限公司发布公告,宣布饶于晨先生就任...
2026-03-01 06:16:52
每周股票复盘:东软集团(6...
截至2026年2月27日收盘,东软集团(600718)报收于10....
2026-03-01 06:16:44
每周股票复盘:沪光股份(6...
截至2026年2月27日收盘,沪光股份(605333)报收于29....
2026-03-01 06:16:32

热门资讯

黑天鹅突袭中东!油价、股市、黄... 这个周末,全球投资者都没睡安稳。当地时间2月28日,以色列和美国联手空袭伊朗,包括伊朗总统府在内的多...
原创 杨... 北京时间3月1日,开拓者93-109不敌黄蜂,目前29胜32负,排名西部第9。杨瀚森只获得最后2分1...
恶意Go加密模块窃取密码并部署... 网络安全研究人员披露了一个恶意Go模块的详细信息,该模块旨在窃取密码、通过SSH创建持久访问权限,并...
黑客发售首日破解《生化危机:安... IT之家 2 月 28 日消息,黑客 Kirigiri's 昨天在 Discord 宣称,他已经在发...
春季长高黄金期!别踩这5个坑,... 每年3-5 月,家长们都忙着给孩子 “猛补猛练”,盼着抓住所谓的 “长高黄金期”。 但你可能不知道...
地缘冲突加剧,国防需求上升预期... 当地时间2月28日,伊朗德黑兰首都发生爆炸。以色列率先宣布袭击伊朗。随后,美国总统特朗普称,美军已经...
“拒收潮”来袭!多数珠宝品牌商... 近期,国际白银价格大幅上涨,国内市场银饰售价同步走高。2月27日COMEX白银期货一度大涨超4%,国...
突发!地缘冲突持续加剧,南方基... 当地时间2月28日,伊朗德黑兰首都发生爆炸。以色列率先宣布袭击伊朗。随后,美国总统特朗普称,美军已经...
3条金项链一夜“增值”超2.3... 每经记者|杜蔚 毕媛媛 每经编辑|董兴生 “昨天买了三条老铺黄金的项链,一夜睡醒赚了超2.3万元!...