Κακόβουλο Go module κλέβει credentials μέσω Telegram Bot
SecNews.gr
IT Security News, Gadgets, Tweaks for Geeks and More
Κακόβουλο Go module κλέβει credentials μέσω Telegram Bot
https://www.secnews.gr/657043/kakoboulo-go-module-klebei-credentials/
Aug 25th 2025, 16:22
by Digital Fortress
Ερευνητές κυβερνοασφάλειας ανακάλυψαν ένα κακόβουλο Go module που παρουσιάζεται ως εργαλείο brute-force για SSH, αλλά στην πραγματικότητα περιέχει λειτουργικότητα για να εξάγει κρυφά τα credentials.
«Με την πρώτη επιτυχημένη σύνδεση, το πακέτο στέλνει τη διεύθυνση IP του στόχου, το όνομα χρήστη και τον κωδικό πρόσβασης σε ένα hard-coded Telegram bot που ελέγχεται από τον απειλητικό παράγοντα», δήλωσε ο ερευνητής της Socket, Kirill Boychenko.
Το παραπλανητικό πακέτο, με την ονομασία "golang-random-ip-ssh-bruteforce", έχει συνδεθεί με έναν λογαριασμό GitHub που ονομάζεται IllDieAnyway (G3TT), ο οποίος πλέον δεν είναι προσβάσιμος. Ωστόσο, εξακολουθεί να είναι διαθέσιμος στο pkg.go[.]dev (δημοσιεύτηκε στις 24 Ιουνίου 2022).
Δείτε επίσης: Νέο Android malware μιμείται antivirus της ρωσικής FSB
Η εταιρεία ασφάλειας ανέφερε ότι το κακόβουλο Go module λειτουργεί σαρώνοντας τυχαίες διευθύνσεις IPv4 για εκτεθειμένες υπηρεσίες SSH στη θύρα TCP 22. Έπειτα προσπαθεί να πραγματοποιήσει brute-force στην υπηρεσία χρησιμοποιώντας μια ενσωματωμένη λίστα ονομάτων χρήστη-κωδικών και εξάγει τα credentials για να τα στείλει στον επιτιθέμενο.
Ένα αξιοσημείωτο στοιχείο του κακόβουλου λογισμικού είναι ότι σκόπιμα απενεργοποιεί την επαλήθευση του host key, ορίζοντας το "ssh.InsecureIgnoreHostKey" ως HostKeyCallback, επιτρέποντας έτσι στον SSH client να αποδέχεται συνδέσεις από οποιονδήποτε server, ανεξάρτητα από την ταυτότητά του.
Το wordlist είναι αρκετά απλό, περιλαμβάνοντας μόνο δύο ονόματα χρήστη (root και admin) και τα συνδυάζει με αδύναμους κωδικούς όπως: root, test, password, admin, 12345678, 1234, qwerty, webadmin, webmaster, techsupport, letmein, Passw@rd.
Ο κακόβουλος κώδικας εκτελείται σε έναν ατέρμονα βρόχο για να δημιουργεί διευθύνσεις IPv4, με το πακέτο να επιχειρεί ταυτόχρονες SSH συνδέσεις από το wordlist.
Οι λεπτομέρειες μεταδίδονται σε ένα Telegram bot, με όνομα "@sshZXC_bot" (ssh_bot), που ελέγχεται από τον επιτιθέμενο μέσω API. Αυτό, στη συνέχεια, επιβεβαιώνει την παραλαβή των διαπιστευτηρίων. Τα μηνύματα αποστέλλονται μέσω του bot σε έναν λογαριασμό με το handle "@io_ping" (Gett).
Δείτε επίσης: Το QuirkyLoader βοηθά στη διανομή infostealer malware
Ένα στιγμιότυπο του Internet Archive από τον πλέον διαγραμμένο λογαριασμό GitHub δείχνει ότι το χαρτοφυλάκιο λογισμικού του IllDieAnyway περιλάμβανε έναν σαρωτή θυρών IP, ένα parser πληροφοριών και μέσων προφίλ Instagram, καθώς και ένα botnet command-and-control (C2) βασισμένο σε PHP (με την ονομασία Selica-C2).
Το κανάλι του στο YouTube, το οποίο παραμένει προσβάσιμο, φιλοξενεί διάφορα σύντομα βίντεο για το «Πώς να χακάρεις ένα Telegram bot» και για αυτό που ισχυρίζεται ότι είναι ο «πιο ισχυρός SMS bomber για τη Ρωσική Ομοσπονδία», ο οποίος μπορεί να στέλνει μαζικά SMS spam και μηνύματα σε χρήστες VK χρησιμοποιώντας ένα Telegram bot. Εκτιμάται ότι ο επιτιθέμενος είναι ρωσικής προέλευσης.
Κακόβουλο Go Module: Σημαντική απειλή
Η συγκεκριμένη υπόθεση δείχνει ξεκάθαρα πώς οι επιτιθέμενοι αξιοποιούν το οικοσύστημα του open source λογισμικού για να εξαπατήσουν όχι μόνο στόχους, αλλά και άλλους επίδοξους "χάκερ" που νομίζουν ότι χρησιμοποιούν ένα εργαλείο για επιθέσεις. Εδώ, το κακόβουλο Go module μετατρέπεται σε «δόλωμα»: δεν περιορίζεται στο brute-force, αλλά συλλέγει και αποστέλλει τις ίδιες τις ευαίσθητες πληροφορίες στον δημιουργό του.
Αυτή η τακτική υπογραμμίζει ότι ακόμη και οι παράνομοι χρήστες μπορούν να πέσουν θύματα – μια ειρωνική υπενθύμιση ότι η εμπιστοσύνη σε άγνωστο κώδικα είναι επικίνδυνη ανεξάρτητα από το κίνητρο χρήσης. Η επιλογή να χρησιμοποιηθεί το Telegram ως κανάλι C2 δείχνει μια τάση που συναντάμε όλο και πιο συχνά: η μεταφορά δεδομένων μέσα από νόμιμες πλατφόρμες που προσφέρουν κρυπτογράφηση και υψηλή διαθεσιμότητα.
Δείτε επίσης: Κατάχρηση Microsoft Help Index Files για εκτέλεση του PipeMagic malware
Έτσι, ο εντοπισμός της δραστηριότητας γίνεται δυσκολότερος για τις αρχές, αφού τα δεδομένα φαίνονται σαν «νόμιμη» κίνηση σε ένα ευρέως χρησιμοποιούμενο app. Αν και η λίστα με τους κωδικούς είναι απλοϊκή, αποδεικνύει ότι οι επιθέσεις εξακολουθούν να βασίζονται στην ανθρώπινη αμέλεια: αδύναμα passwords όπως "12345678" ή "admin" εξακολουθούν να βρίσκονται σε χρήση. Το γεγονός ότι αρκεί μια τόσο φτωχή wordlist για να δικαιολογηθεί η ανάπτυξη ενός εργαλείου τέτοιου τύπου είναι ένδειξη του πόσο πίσω βρίσκεται ακόμη η βασική ψηφιακή υγιεινή σε πολλούς servers.
Τέλος, η ύπαρξη και άλλων projects του ίδιου δημιουργού – από botnets μέχρι SMS bombers – υπογραμμίζει ότι δεν μιλάμε για μεμονωμένο περιστατικό αλλά για μια ολόκληρη «βιομηχανία» μικρής κλίμακας που παράγει εργαλεία κακόβουλης χρήσης. Για τους ειδικούς στην κυβερνοασφάλεια, τέτοιες ανακαλύψεις λειτουργούν σαν καμπανάκι: χρειάζεται αυστηρότερη εποπτεία σε αποθετήρια λογισμικού, αλλά και εκπαίδευση για τους διαχειριστές ώστε να μην επαναπαύονται στη χρήση default κωδικών ή στην απενεργοποίηση κρίσιμων μηχανισμών ασφαλείας.
© SecNews.gr - Κακόβουλο Go module κλέβει credentials μέσω Telegram Bot
You are receiving this email because you subscribed to this feed at https://blogtrottr.com?lctg=1169672
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz?lctg=1169672
IT Security News, Gadgets, Tweaks for Geeks and More
Κακόβουλο Go module κλέβει credentials μέσω Telegram Bot
https://www.secnews.gr/657043/kakoboulo-go-module-klebei-credentials/
Aug 25th 2025, 16:22
by Digital Fortress
Ερευνητές κυβερνοασφάλειας ανακάλυψαν ένα κακόβουλο Go module που παρουσιάζεται ως εργαλείο brute-force για SSH, αλλά στην πραγματικότητα περιέχει λειτουργικότητα για να εξάγει κρυφά τα credentials.
«Με την πρώτη επιτυχημένη σύνδεση, το πακέτο στέλνει τη διεύθυνση IP του στόχου, το όνομα χρήστη και τον κωδικό πρόσβασης σε ένα hard-coded Telegram bot που ελέγχεται από τον απειλητικό παράγοντα», δήλωσε ο ερευνητής της Socket, Kirill Boychenko.
Το παραπλανητικό πακέτο, με την ονομασία "golang-random-ip-ssh-bruteforce", έχει συνδεθεί με έναν λογαριασμό GitHub που ονομάζεται IllDieAnyway (G3TT), ο οποίος πλέον δεν είναι προσβάσιμος. Ωστόσο, εξακολουθεί να είναι διαθέσιμος στο pkg.go[.]dev (δημοσιεύτηκε στις 24 Ιουνίου 2022).
Δείτε επίσης: Νέο Android malware μιμείται antivirus της ρωσικής FSB
Η εταιρεία ασφάλειας ανέφερε ότι το κακόβουλο Go module λειτουργεί σαρώνοντας τυχαίες διευθύνσεις IPv4 για εκτεθειμένες υπηρεσίες SSH στη θύρα TCP 22. Έπειτα προσπαθεί να πραγματοποιήσει brute-force στην υπηρεσία χρησιμοποιώντας μια ενσωματωμένη λίστα ονομάτων χρήστη-κωδικών και εξάγει τα credentials για να τα στείλει στον επιτιθέμενο.
Ένα αξιοσημείωτο στοιχείο του κακόβουλου λογισμικού είναι ότι σκόπιμα απενεργοποιεί την επαλήθευση του host key, ορίζοντας το "ssh.InsecureIgnoreHostKey" ως HostKeyCallback, επιτρέποντας έτσι στον SSH client να αποδέχεται συνδέσεις από οποιονδήποτε server, ανεξάρτητα από την ταυτότητά του.
Το wordlist είναι αρκετά απλό, περιλαμβάνοντας μόνο δύο ονόματα χρήστη (root και admin) και τα συνδυάζει με αδύναμους κωδικούς όπως: root, test, password, admin, 12345678, 1234, qwerty, webadmin, webmaster, techsupport, letmein, Passw@rd.
Ο κακόβουλος κώδικας εκτελείται σε έναν ατέρμονα βρόχο για να δημιουργεί διευθύνσεις IPv4, με το πακέτο να επιχειρεί ταυτόχρονες SSH συνδέσεις από το wordlist.
Οι λεπτομέρειες μεταδίδονται σε ένα Telegram bot, με όνομα "@sshZXC_bot" (ssh_bot), που ελέγχεται από τον επιτιθέμενο μέσω API. Αυτό, στη συνέχεια, επιβεβαιώνει την παραλαβή των διαπιστευτηρίων. Τα μηνύματα αποστέλλονται μέσω του bot σε έναν λογαριασμό με το handle "@io_ping" (Gett).
Δείτε επίσης: Το QuirkyLoader βοηθά στη διανομή infostealer malware
Ένα στιγμιότυπο του Internet Archive από τον πλέον διαγραμμένο λογαριασμό GitHub δείχνει ότι το χαρτοφυλάκιο λογισμικού του IllDieAnyway περιλάμβανε έναν σαρωτή θυρών IP, ένα parser πληροφοριών και μέσων προφίλ Instagram, καθώς και ένα botnet command-and-control (C2) βασισμένο σε PHP (με την ονομασία Selica-C2).
Το κανάλι του στο YouTube, το οποίο παραμένει προσβάσιμο, φιλοξενεί διάφορα σύντομα βίντεο για το «Πώς να χακάρεις ένα Telegram bot» και για αυτό που ισχυρίζεται ότι είναι ο «πιο ισχυρός SMS bomber για τη Ρωσική Ομοσπονδία», ο οποίος μπορεί να στέλνει μαζικά SMS spam και μηνύματα σε χρήστες VK χρησιμοποιώντας ένα Telegram bot. Εκτιμάται ότι ο επιτιθέμενος είναι ρωσικής προέλευσης.
Κακόβουλο Go Module: Σημαντική απειλή
Η συγκεκριμένη υπόθεση δείχνει ξεκάθαρα πώς οι επιτιθέμενοι αξιοποιούν το οικοσύστημα του open source λογισμικού για να εξαπατήσουν όχι μόνο στόχους, αλλά και άλλους επίδοξους "χάκερ" που νομίζουν ότι χρησιμοποιούν ένα εργαλείο για επιθέσεις. Εδώ, το κακόβουλο Go module μετατρέπεται σε «δόλωμα»: δεν περιορίζεται στο brute-force, αλλά συλλέγει και αποστέλλει τις ίδιες τις ευαίσθητες πληροφορίες στον δημιουργό του.
Αυτή η τακτική υπογραμμίζει ότι ακόμη και οι παράνομοι χρήστες μπορούν να πέσουν θύματα – μια ειρωνική υπενθύμιση ότι η εμπιστοσύνη σε άγνωστο κώδικα είναι επικίνδυνη ανεξάρτητα από το κίνητρο χρήσης. Η επιλογή να χρησιμοποιηθεί το Telegram ως κανάλι C2 δείχνει μια τάση που συναντάμε όλο και πιο συχνά: η μεταφορά δεδομένων μέσα από νόμιμες πλατφόρμες που προσφέρουν κρυπτογράφηση και υψηλή διαθεσιμότητα.
Δείτε επίσης: Κατάχρηση Microsoft Help Index Files για εκτέλεση του PipeMagic malware
Έτσι, ο εντοπισμός της δραστηριότητας γίνεται δυσκολότερος για τις αρχές, αφού τα δεδομένα φαίνονται σαν «νόμιμη» κίνηση σε ένα ευρέως χρησιμοποιούμενο app. Αν και η λίστα με τους κωδικούς είναι απλοϊκή, αποδεικνύει ότι οι επιθέσεις εξακολουθούν να βασίζονται στην ανθρώπινη αμέλεια: αδύναμα passwords όπως "12345678" ή "admin" εξακολουθούν να βρίσκονται σε χρήση. Το γεγονός ότι αρκεί μια τόσο φτωχή wordlist για να δικαιολογηθεί η ανάπτυξη ενός εργαλείου τέτοιου τύπου είναι ένδειξη του πόσο πίσω βρίσκεται ακόμη η βασική ψηφιακή υγιεινή σε πολλούς servers.
Τέλος, η ύπαρξη και άλλων projects του ίδιου δημιουργού – από botnets μέχρι SMS bombers – υπογραμμίζει ότι δεν μιλάμε για μεμονωμένο περιστατικό αλλά για μια ολόκληρη «βιομηχανία» μικρής κλίμακας που παράγει εργαλεία κακόβουλης χρήσης. Για τους ειδικούς στην κυβερνοασφάλεια, τέτοιες ανακαλύψεις λειτουργούν σαν καμπανάκι: χρειάζεται αυστηρότερη εποπτεία σε αποθετήρια λογισμικού, αλλά και εκπαίδευση για τους διαχειριστές ώστε να μην επαναπαύονται στη χρήση default κωδικών ή στην απενεργοποίηση κρίσιμων μηχανισμών ασφαλείας.
© SecNews.gr - Κακόβουλο Go module κλέβει credentials μέσω Telegram Bot
You are receiving this email because you subscribed to this feed at https://blogtrottr.com?lctg=1169672
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz?lctg=1169672