Un module Go usurpant golang.org/x/crypto vole des mots de passe et déploie la backdoor Linux Rekoobe
Selon Socket (Threat Research Team), un module Go malveillant imitant le dĂ©pĂŽt de confiance golang.org/x/crypto â publiĂ© comme github[.]com/xinfeisoft/crypto â a Ă©tĂ© dĂ©couvert avec une porte dĂ©robĂ©e insĂ©rĂ©e dans ssh/terminal/terminal.go. Cette usurpation cible un composant fondamental de lâĂ©cosystĂšme Go afin de collecter des secrets saisis via ReadPassword et de livrer une chaĂźne dâinfection Linux. â DĂ©tail du leurre et de lâimplant â Technique dâusurpation (« namespace confusion »): clone du code x/crypto avec faible modification apparente, ajoutant notamment la dĂ©pendance github.com/bitfield/script pour faciliter les requĂȘtes HTTP et lâexĂ©cution de commandes. Backdoor dans ReadPassword: capture du secret, Ă©criture locale dans /usr/share/nano/.lock, rĂ©cupĂ©ration dâun pointeur dââupdateâ hĂ©bergĂ© sur GitHub Raw, exfiltration du mot de passe via HTTP POST, puis exĂ©cution dâun script reçu cĂŽtĂ© attaquant via /bin/sh. ĂcosystĂšme et persistance: lâacteur utilise un fichier update.html sur GitHub comme canal de configuration (rotation dâURL sans republier le module). Le module a Ă©tĂ© servi par le miroir public Go jusquâau 16 dĂ©cembre 2025; la Go security team le bloque dĂ©sormais via le proxy (403 SECURITY ERROR), tandis que le compte GitHub de lâĂ©diteur reste public au moment de la rĂ©daction. â ChaĂźne dâexĂ©cution Linux et charges â ...