Modulul Go fură credențiale de autentificare prin intermediul botului Telegram
Sursă: https://thehackernews.com/
Cercetătorii în domeniul securității cibernetice au descoperit un modul Go rău intenționat care se prezintă ca un instrument de brute-force pentru SSH, dar care conține de fapt funcționalități pentru a exfiltra în mod discret datele de autentificare către creatorul său.
La prima autentificare reușită, pachetul trimite adresa IP țintă, numele de utilizator și parola către un bot Telegram hard-codat controlat de actorul amenințării.
Pachetul malițios, numit „golang-random-ip-ssh-bruteforce”, a fost asociat cu un cont GitHub numit IllDieAnyway (G3TT), care în prezent nu mai este accesibil. Cu toate acestea, acesta continuă să fie disponibil pe pkg.go[.]dev. Acesta a fost publicat pe 24 iunie 2022.
Compania de securitate a lanțului de aprovizionare software a declarat că modulul Go funcționează prin scanarea adreselor IPv4 aleatorii pentru servicii SSH expuse pe portul TCP 22, apoi încearcă să forțeze serviciul folosind o listă încorporată de nume de utilizator și parole și exfiltrând datele de autentificare reușite către atacator.
Un aspect notabil al malware-ului este că acesta dezactivează în mod deliberat verificarea cheii gazdei prin setarea „ssh.InsecureIgnoreHostKey” ca HostKeyCallback, permițând astfel clientului SSH să accepte conexiuni de la orice server, indiferent de identitatea acestuia.
Lista de cuvinte este destul de simplă, incluzând doar două nume de utilizator, root și admin, și asociindu-le cu parole slabe precum root, test, password, admin, 12345678, 1234, qwerty, webadmin, webmaster, techsupport, letmein și Passw@rd.
Codul rău intenționat rulează într-o buclă infinită pentru a genera adresele IPv4, pachetul încercând să se conecteze simultan la SSH din lista de cuvinte.
Detaliile sunt transmise către un bot Telegram controlat de actorul amenințării, numit „@sshZXC_bot” (ssh_bot), prin intermediul API-ului, care apoi confirmă primirea datelor de autentificare. Mesajele sunt trimise prin bot către un cont cu numele „@io_ping” (Gett).
O captură de ecran din Internet Archive a contului GitHub, care a fost șters între timp, arată că portofoliul de software al IllDieAnyway includea un scaner de porturi IP, un parser de informații și media pentru profiluri Instagram și chiar un botnet de comandă și control (C2) bazat pe PHP, numit Selica-C2.
Pachetul descarcă scanarea și ghicirea parolelor către operatori neștiutori, răspândește riscul pe IP-urile lor și canalizează succesele către un singur bot Telegram controlat de actorul amenințării.
Acesta dezactivează verificarea cheii gazdei, generează o concurență ridicată și se închide după prima autentificare validă pentru a prioritiza capturarea rapidă. Deoarece API-ul Telegram Bot utilizează HTTPS, traficul arată ca niște solicitări web normale și poate trece de controalele de ieșire riguroase.
Sursă: https://thehackernews.com/2025/08/malicious-go-module-poses-as-ssh-brute.html
