Un nuovo modulo Go malevolo è stato recentemente scoperto dai ricercatori di sicurezza informatica e rappresenta una minaccia significativa per la sicurezza della supply chain del software. Questo pacchetto, chiamato "golang-random-ip-ssh-bruteforce", si presenta come uno strumento di brute-force per SSH, ma il suo vero scopo è quello di sottrarre credenziali sensibili e inviarle a un bot Telegram sotto il controllo dell’attaccante.

Funzionamento del modulo malevolo

Il modulo, pubblicato a giugno 2022 e tuttora disponibile su vari repository, effettua una scansione di indirizzi IPv4 casuali alla ricerca di servizi SSH esposti sulla porta TCP 22. Utilizza una lista di username e password deboli, tra cui root, admin, test, password, 12345678, 1234, qwerty, webadmin, webmaster, techsupport, letmein e Passw@rd, per tentare l’accesso ai server remoti. Nel momento in cui riesce a effettuare il primo login con successo, invia l’indirizzo IP, il nome utente e la password al bot Telegram dell’attaccante.

Meccanismi di attacco

Un elemento particolarmente pericoloso del codice malevolo è la disattivazione della verifica delle chiavi host SSH tramite l’opzione ssh.InsecureIgnoreHostKey. Questo permette al client SSH di connettersi a qualsiasi server senza preoccuparsi dell’autenticità, aumentando così il rischio di compromissione dei sistemi.

Il flusso del malware prevede che il processo di brute-forcing avvenga in loop infinito, generando continuamente nuovi indirizzi IP da attaccare e tentando accessi SSH con le credenziali della wordlist. In caso di successo, le informazioni raccolte vengono esfiltrate tramite API del bot Telegram, rendendo difficile il rilevamento da parte dei sistemi di sicurezza poiché il traffico risulta simile a comuni richieste web HTTPS.

L'autore e la diffusione di strumenti offensivi

L’autore del modulo, noto con lo pseudonimo G3TT, aveva anche altri tool pubblicati, come scanner di porte IP, parser di profili Instagram e addirittura una botnet C2 in PHP. Il suo canale YouTube mostra video dedicati a strumenti offensivi, come hack di bot Telegram e SMS bomber, suggerendo una probabile origine russa.

Rischi per la supply chain e raccomandazioni

Questa minaccia mette in evidenza i rischi dei pacchetti open source non verificati e l’importanza di monitorare la supply chain software. Le aziende dovrebbero sempre verificare la provenienza dei moduli e implementare controlli di sicurezza approfonditi, in particolare per strumenti che richiedono accesso a servizi sensibili come SSH.