資安研究人員發現一個名為「
golang-random-ip-ssh-bruteforce」的惡意 Go 模組,該模組偽裝成 SSH 暴力破解工具,實際上卻暗藏後門功能。
此套件與已無法存取的 GitHub 帳戶「IllDieAnyway」(G3TT)有關,雖然該帳戶已被移除,但惡意套件仍可在 pkg.go.dev 上取得。
根據 Socket 安全研究員 Kirill Boychenko 的調查,該套件會在首次成功登入時,自動將目標 IP 位址、使用者名稱和密碼傳送至攻擊者控制的 Telegram 機器人。
這個惡意程式會掃描隨機 IPv4 位址,尋找開放在 TCP 22 的 SSH 服務,並使用內建的基本帳密列表進行暴力破解。值得注意的是,
程式刻意設定「ssh.InsecureIgnoreHostKey」來停用主機金鑰驗證,使 SSH 用戶端能夠接受任何伺服器連線。攻擊者使用的帳密組合相當簡單,僅包含「root」和「admin」兩個使用者名稱,搭配「password」、「12345678」、「qwerty」等常見弱密碼。
延伸閱讀:惡意Go Modules植入磁碟清除程式,Linux系統遭遇進階供應鏈攻擊
攻擊手法與威脅來源分析
該惡意程式運行於無限迴圈中,不斷生成 IPv4 位址並同時進行並行 SSH 登入嘗試。
一旦獲得有效憑證,系統立即透過 API 將資訊傳送至「@sshZXC_bot」Telegram 機器人,該機器人會將訊息轉發給代號「@io_ping」的使用者帳號。
根據網路封存資料,被移除的「IllDieAnyway」GitHub 帳號還擁有 IP 掃描器、Instagram 解析器,以及名為 Selica-C2 的 PHP 殭屍網路等工具。
研究人員更從該駭客的 YouTube 頻道發現多種教學影片,包括「如何駭入 Telegram 機器人」以及自稱為「俄羅斯聯邦最強大的簡訊轟炸機」的工具,因此推測攻擊者很可能來自俄羅斯。
Boychenko 指出,
這種攻擊手法巧妙地將掃描和密碼猜測工作轉嫁給毫不知情的使用者,風險分散到他們的 IP 位址上,而成功結果則統一導向攻擊者控制的 Telegram 機器人。由於 Telegram Bot API 使用 HTTPS 協定,這些惡意流量看起來就像一般網路請求,能夠輕易繞過基本的出站流量管控。
本文轉載自 TheHackerNews。