222 个 GitHub 存储库链接到假 Go 包恶意软件操作

研究人员发现了 222 个 GitHub 存储库,这些存储库通过伪造的 Go 包传播恶意软件,提供加载程序、窃取程序、RAT 和加密货币挖矿程序。 Socket 的安全研究团队从对单个恶意 Go 模块的调查开始:github[.]com/kaleidora/dnsub-scanning-tool,该模块将自己呈现为 DNS 和子域扫描实用程序。拉动该线程暴露了更大的东西:222 人的网络确认了 [...]

来源:Security Affairs _恶意软件

222 个 GitHub 存储库链接到假 Go 包恶意软件操作

研究人员发现了 222 个 GitHub 存储库,这些存储库通过伪造的 Go 包传播恶意软件,提供加载程序、窃取程序、RAT 和加密货币挖矿程序。

Socket 的安全研究团队从对单个恶意 Go 模块的调查开始:github[.]com/kaleidora/dnsub-scanning-tool,该模块将自己呈现为 DNS 和子域扫描实用程序。拉动该线程暴露了更大的东西:一个由 190 个帐户的 222 个已确认的 GitHub 存储库组成的网络,所有这些都是为了使恶意或欺骗性软件项目看起来活跃、最近维护且值得运行。

Socket 将操作跟踪为 Muck 和 Load,以它运行的 Muck 主题基础设施以及它用来传递恶意软件的分阶段加载链命名。

在这些存储库中发现的已确认有效负载集包括特洛伊木马加载程序、Vidar infostealer、dropper 和间谍软件有效负载,以及与 XMRig 绑定的门罗币加密挖矿程序。这不是空的诱饵页面的集合。一些存储库直接分发恶意软件。

dnsub-scanning-tool 模块模拟了合法的开源子域枚举项目。它的自述文件描述了真实的扫描仪功能。它的代码做了其他事情。在任何扫描器逻辑运行之前,该模块的 main() 函数启动了一个隐藏的 PowerShell 命令,该命令从 muckcoding[.]com 下载内容,将其保存为 api.db,使用 certutil 对其进行解码,将结果写入 L.ps1,并通过执行策略绕过和隐藏窗口执行它。正如 Socket 的报告所描述的:

“加载程序的执行模式进一步强化了恶意意图。它启动带有隐藏窗口的 PowerShell,然后使用以下命令调用解码后的脚本:-ExecutionPolicy Bypass。”阅读网络安全公司 Socket 发布的报告。

研究人员指出,电子邮件地址、Muck 主题域名和特定的死站 URL 都是可替换的。运营模式更难改变。

皮尔路易吉·帕格尼尼