Investigadores de Socket han identificado 11 módulos de Go y al menos dos bibliotecas npm que ocultan un loader capaz de descargar «Rekoobe» —un backdoor ELF/PE de segunda fase— y, en ciertas variantes, ejecutar un wipe remoto con rm -rf *. Entre los nombres detectados figuran github.com/stripedconsu/linker, expertsandba/opt, ordinarymea/TNSR_IDS o cavernouskina/mcp-go, así como los paquetes naya-flore y nvlore-hsc en npm.v
Cómo funciona la cadena de infección
- Typosquatting en Go: los atacantes crean repositorios con nombres verosímiles; al compilar, el código abre un shell, extrae el nombre de la región IPC (CVE-2025-23320) y descarga la carga ELF/PE desde dominios
.icuy.tech. - Carga cruzada (Windows / Linux): en Linux se ejecuta un bash script; en Windows se usa
certutil.exepara traer el binario. - npm con kill switch: los paquetes se hacen pasar por librerías de WhatsApp y consultan una base de teléfonos indonesia; si el número no está en la lista, disparan un borrado recursivo de archivos.
Impacto potencial
- Toma de control remota de estaciones de desarrollo y servidores CI/CD en Windows y Linux.
- Robo de credenciales y secretos: el backdoor recopila información del sistema y del navegador.
- Borrado de código fuente y artefactos en entornos locales cuando se activa el wipe.
- Ataques en cadena de suministro: los módulos de Go se resuelven directamente desde GitHub, lo que facilita su propagación inadvertida.
Recomendaciones
- Revisar dependencias: emplear herramientas como
go audit,go.sumynpm auditjunto con escáneres de supply-chain (Socket, Snyk, osv-scanner). - Fijar versiones y hashes (
go mod vendor,npm shrinkwrap) para evitar descargas de nombres ambiguos. - Sandboxing de builds: compilar en contenedores sin acceso privilegiado y con salida a Internet restringida.
- Monitorizar tráfico saliente (dominios
.icu,.tech) y alertas de creación de shells en sistemas de CI. - Proceso de deprecation rápido: reportar y eliminar paquetes sospechosos de los registros oficiales antes de que alcancen descargas críticas.
Más información
- The Hacker News – Malicious Go, npm Packages Deliver Cross-Platform Malware, Trigger Remote Data Wipes
- BleepingComputer – Malicious npm packages delete project directories
- GBHackers – Malicious npm utility packages enable attackers to wipe production systems
La entrada Paquetes maliciosos en Go y npm instalan el backdoor Rekoobe y pueden borrar sistemas completos se publicó primero en Una Al Día.
☞ El artículo completo original de Hispasec lo puedes ver aquí
No hay comentarios.:
Publicar un comentario