كشف باحثون في الأمن السيبراني تفاصيل وحدة خبيثة مكتوبة بلغة Go تستهدف أنظمة لينكس، حيث تقوم بسرقة كلمات المرور، وإنشاء وصول دائم عبر بروتوكول SSH، ونشر باب خلفي معروف باسم Rekoobe.
الوحدة المزيفة تحمل اسم github[.]com/xinfeisoft/crypto وتنتحل هوية المشروع الشرعي golang.org/x/crypto، لكنها تحقن شيفرات خبيثة مسؤولة عن استخراج البيانات السرية المدخلة في نافذة الأوامر وإرسالها إلى خادم خارجي، ثم جلب سكربت إضافي وتنفيذه.
آلية الهجوم عبر ReadPassword
تم زرع الباب الخلفي داخل ملف ssh/terminal/terminal.go، بحيث يتم اعتراض أي كلمة مرور يقرأها التطبيق عبر وظيفة ReadPassword(). هذه التقنية تستغل ثغرة “namespace confusion” لتضليل المطورين عند مراجعة الاعتمادات البرمجية، إذ يظهر المسار المزيف وكأنه طبيعي ضمن الرسوم البيانية للاعتمادات.
السكربت الذي يتم تنزيله يعمل كـ Linux stager، حيث يضيف مفتاح SSH خاص بالمهاجم إلى ملف authorized_keys، ويعدل سياسات الجدار الناري عبر iptables لتصبح أكثر تساهلًا، ثم يجلب حمولة إضافية من خادم خارجي مموهة بامتداد .mp5.
حمولة Rekoobe وارتباطها بالهجمات الصينية
من بين الحمولة التي يتم تنزيلها، هناك برنامج مساعد لاختبار الاتصال بالإنترنت والتواصل مع عنوان IP محدد عبر منفذ TCP 443، وهو على الأرجح أداة استطلاع أو محمل.
أما الحمولة الثانية فهي Rekoobe، وهو باب خلفي معروف منذ عام 2015، قادر على استقبال أوامر من خادم المهاجم لتنزيل ملفات إضافية، سرقة بيانات، وتنفيذ اتصال عكسي (Reverse Shell). وقد تم رصد استخدامه مؤخرًا من قبل مجموعات مرتبطة بالدولة الصينية مثل APT31 في أغسطس 2023، مما يعكس استمرار خطورته وانتشاره.
دلالات أمنية وتحذيرات للمطورين
رغم أن الحزمة لا تزال مدرجة على موقع pkg.go.dev، إلا أن فريق أمان Go اتخذ خطوات لحظرها باعتبارها خبيثة. الباحث كيريل بويتشينكو من شركة Socket أشار إلى أن هذه الحملة قد تتكرر مستقبلًا نظرًا لسهولة تنفيذها وارتفاع أثرها، حيث تعتمد على وحدة شبيهة بالمشروع الأصلي، وتستغل وظيفة حساسة مثل ReadPassword، ثم تنتقل إلى مرحلة تحميل الحمولة عبر أوامر curl | sh.
يحذر الخبراء من أن مثل هذه الهجمات قد تستهدف مكتبات أخرى مرتبطة بالاعتمادات وكلمات المرور، مثل أدوات SSH أو موصلات قواعد البيانات، مع استخدام منصات استضافة متعددة لتدوير البنية التحتية دون الحاجة لإعادة نشر الشيفرة.
