Selon Socket (Threat Research Team), un module Go malveillant imitant le dépôt de confiance golang.org/x/crypto — publié comme github[.]com/xinfeisoft/crypto — a été découvert avec une porte dérobée insérée dans ssh/terminal/terminal.go. Cette usurpation cible un composant fondamental de l’écosystème Go afin de collecter des secrets saisis via ReadPassword et de livrer une chaîne d’infection Linux.

— Détail du leurre et de l’implant —

  • Technique d’usurpation (« namespace confusion »): clone du code x/crypto avec faible modification apparente, ajoutant notamment la dépendance github.com/bitfield/script pour faciliter les requêtes HTTP et l’exécution de commandes.
  • Backdoor dans ReadPassword: capture du secret, écriture locale dans /usr/share/nano/.lock, récupération d’un pointeur d’“update” hébergé sur GitHub Raw, exfiltration du mot de passe via HTTP POST, puis exécution d’un script reçu côté attaquant via /bin/sh.
  • Écosystème et persistance: l’acteur utilise un fichier update.html sur GitHub comme canal de configuration (rotation d’URL sans republier le module). Le module a été servi par le miroir public Go jusqu’au 16 décembre 2025; la Go security team le bloque désormais via le proxy (403 SECURITY ERROR), tandis que le compte GitHub de l’éditeur reste public au moment de la rédaction.

— Chaîne d’exécution Linux et charges —

  • Stager curl | sh (snn50.txt) obtenu après résolution du pointeur GitHub → seed.php: ajoute une clé SSH authorized_keys pour l’utilisateur “ubuntu”, force les politiques par défaut iptables à ACCEPT, télécharge et exécute deux binaires déguisés en .mp5 depuis img[.]spoolsv[.]cc, puis supprime les artefacts.
  • Charges utiles:
    • sss.mp5 (loader/recon probable) communique vers 154[.]84[.]63[.]184:443 avec trafic non conforme à un TLS standard.
    • 555.mp5 confirmé comme backdoor Linux Rekoobe (variante connue, trafic TCP 443 possiblement « HTTPS-like » non standard).
  • Ciblage environnemental: chemins et usage de sudo suggèrent des environnements Ubuntu cloud/CI/bastions avec privilèges élevés.

— Indicateurs de compromission (IOCs) — 🔎

  • Module malveillant: github[.]com/xinfeisoft/crypto
  • Config GitHub Raw: https://raw.githubusercontent[.]com/xinfeisoft/vue-element-admin/refs/heads/main/public/update[.]html
  • Endpoints de livraison:
  • Domaines liés: img.spoolsv[.]cc, img.spoolsv[.]net, spoolsv[.]cc, spoolsv[.]net
  • Réseau: 154[.]84[.]63[.]184:443
  • SHA256:
    • sss.mp5: 4afdb3f5914beb0ebe3b086db5a83cef1d3c3c4312d18eff672dd0f6be2146bc
    • 555.mp5: 8b0ec8d0318347874e117f1aed1b619892a7547308e437a20e02090e5f3d2da6
  • Clé SSH ajoutée (persistence): AAAAB3NzaC1yc2EAAAADAQABAAABAQDVffcl…

— Tactiques, Techniques et Procédures (MITRE ATT&CK) — 🧩

  • T1195.002 (Supply Chain Compromise) ; T1204.005 (Malicious Library)
  • T1036 / T1036.008 (Masquerading / Masquerade File Type) ; T1656 (Impersonation)
  • T1056 (Input Capture) ; T1071.001 (Web Protocols) ; T1102.001 (Dead Drop Resolver)
  • T1105 (Ingress Tool Transfer) ; T1059.004 (Unix Shell)
  • T1098.004 (SSH Authorized Keys) ; T1562.004 (Modify System Firewall)
  • T1070.004 (File Deletion)

Il s’agit d’une analyse de menace détaillant une campagne d’usurpation de dépendance Go visant la collecte de mots de passe et le déploiement de Rekoobe sur Linux, avec publication d’IOCs et TTPs pour éclairer la détection et la compréhension de la chaîne d’attaque.

🧠 TTPs et IOCs détectés

TTP

[‘T1195.002 (Supply Chain Compromise)’, ‘T1204.005 (Malicious Library)’, ‘T1036 / T1036.008 (Masquerading / Masquerade File Type)’, ‘T1656 (Impersonation)’, ‘T1056 (Input Capture)’, ‘T1071.001 (Web Protocols)’, ‘T1102.001 (Dead Drop Resolver)’, ‘T1105 (Ingress Tool Transfer)’, ‘T1059.004 (Unix Shell)’, ‘T1098.004 (SSH Authorized Keys)’, ‘T1562.004 (Modify System Firewall)’, ‘T1070.004 (File Deletion)’]

IOC

{‘hash’: [‘4afdb3f5914beb0ebe3b086db5a83cef1d3c3c4312d18eff672dd0f6be2146bc’, ‘8b0ec8d0318347874e117f1aed1b619892a7547308e437a20e02090e5f3d2da6’], ‘domain’: [‘github.com/xinfeisoft/crypto’, ‘raw.githubusercontent.com/xinfeisoft/vue-element-admin/refs/heads/main/public/update.html’, ‘img.spoolsv.cc’, ‘img.spoolsv.net’, ‘spoolsv.cc’, ‘spoolsv.net’], ‘ip’: [‘154.84.63.184:443’]}

🔗 Source originale : https://socket.dev/blog/malicious-go-crypto-module-steals-passwords-and-deploys-rekoobe-backdoor