7 de agosto de 2025

Paquetes maliciosos en Go y npm instalan el backdoor Rekoobe y pueden borrar sistemas completos

Investigadores de Socket han identificado 11 módulos de Go y al menos dos bibliotecas npm que ocultan un loader capaz de descargar «Rekoobe» —un backdoor ELF/PE de segunda fase— y, en ciertas variantes, ejecutar un wipe remoto con rm -rf *. Entre los nombres detectados figuran github.com/stripedconsu/linker, expertsandba/opt, ordinarymea/TNSR_IDS o cavernouskina/mcp-go, así como los paquetes naya-flore y nvlore-hsc en npm.v

Cómo funciona la cadena de infección

  • Typosquatting en Go: los atacantes crean repositorios con nombres verosímiles; al compilar, el código abre un shell, extrae el nombre de la región IPC (CVE-2025-23320) y descarga la carga ELF/PE desde dominios .icu y .tech.
  • Carga cruzada (Windows / Linux): en Linux se ejecuta un bash script; en Windows se usa certutil.exe para traer el binario.
  • npm con kill switch: los paquetes se hacen pasar por librerías de WhatsApp y consultan una base de teléfonos indonesia; si el número no está en la lista, disparan un borrado recursivo de archivos.

Impacto potencial

  1. Toma de control remota de estaciones de desarrollo y servidores CI/CD en Windows y Linux.
  2. Robo de credenciales y secretos: el backdoor recopila información del sistema y del navegador.
  3. Borrado de código fuente y artefactos en entornos locales cuando se activa el wipe.
  4. Ataques en cadena de suministro: los módulos de Go se resuelven directamente desde GitHub, lo que facilita su propagación inadvertida.

Recomendaciones

  • Revisar dependencias: emplear herramientas como go audit, go.sum y npm audit junto con escáneres de supply-chain (Socket, Snyk, osv-scanner).
  • Fijar versiones y hashes (go mod vendor, npm shrinkwrap) para evitar descargas de nombres ambiguos.
  • Sandboxing de builds: compilar en contenedores sin acceso privilegiado y con salida a Internet restringida.
  • Monitorizar tráfico saliente (dominios .icu, .tech) y alertas de creación de shells en sistemas de CI.
  • Proceso de deprecation rápido: reportar y eliminar paquetes sospechosos de los registros oficiales antes de que alcancen descargas críticas.

Más información

La entrada Paquetes maliciosos en Go y npm instalan el backdoor Rekoobe y pueden borrar sistemas completos se publicó primero en Una Al Día.



☞ El artículo completo original de Hispasec lo puedes ver aquí

No hay comentarios.:

Publicar un comentario