Malicious Go Module Steals Passwords und installiert Backdoor

Cybersecurity-Forscher haben ein bösartiges Go-Modul entdeckt, das darauf abzielt, Passwörter zu stehlen und eine dauerhafte Zugriffsmöglichkeit über SSH zu schaffen. Das Modul, das unter dem Namen github[.]com/xinfeisoft/crypto verbreitet wird, gibt sich als Teil der legitimen golang.org/x/crypto-Codebasis aus. Es injiziert jedoch schädlichen Code, der dafür verantwortlich ist, geheime Informationen zu exfiltrieren, die über das Terminal eingegeben werden. Das Go-Modul nutzt eine Technik, die als Code-Injection bekannt ist, um die Integrität der legitimen Bibliothek zu untergraben. Nutzer, die das Modul installieren, laufen Gefahr, dass ihre Anmeldedaten und andere sensible Informationen kompromittiert werden.

Die Forscher haben festgestellt, dass das Modul speziell für Linux-Systeme entwickelt wurde, was die Bedrohung für Server und andere kritische Infrastrukturen erhöht. Ein zentrales Merkmal des bösartigen Moduls ist die Fähigkeit, eine Rekoobe-Backdoor zu installieren. Diese Backdoor ermöglicht es Angreifern, unbefugten Zugriff auf betroffene Systeme zu erlangen und sie für weitere Angriffe zu nutzen. Die Installation erfolgt in der Regel ohne das Wissen des Nutzers, was die Entdeckung und Behebung der Bedrohung erheblich erschwert. Die Sicherheitsforscher haben auch darauf hingewiesen, dass die Verwendung von SSH (Secure Shell) für den Zugriff auf Systeme durch das Modul gefährdet wird.

Angreifer können die gestohlenen Anmeldedaten verwenden, um sich als legitime Benutzer auszugeben und auf vertrauliche Daten zuzugreifen. Dies könnte schwerwiegende Folgen für Unternehmen und Organisationen haben, die auf die Sicherheit ihrer Systeme angewiesen sind. Die Verbreitung des bösartigen Go-Moduls erfolgt über verschiedene Kanäle, einschließlich öffentlicher Repositories und Foren. Sicherheitsforscher raten Nutzern, besonders vorsichtig zu sein und nur vertrauenswürdige Quellen für Software-Downloads zu verwenden. Die Installation von Software aus unbekannten oder nicht verifizierten Quellen kann zu erheblichen Sicherheitsrisiken führen.

Um die Bedrohung zu mindern, empfehlen Experten, regelmäßig Sicherheitsupdates durchzuführen und Sicherheitssoftware zu verwenden, die speziell für die Erkennung von Malware und bösartigen Modulen entwickelt wurde. Die Implementierung von Multi-Faktor-Authentifizierung kann ebenfalls dazu beitragen, unbefugten Zugriff zu verhindern. Die Entdeckung des bösartigen Go-Moduls hat bereits zu einer erhöhten Aufmerksamkeit in der Cybersecurity-Community geführt. Forscher und Sicherheitsexperten arbeiten daran, die Verbreitung des Moduls zu stoppen und betroffene Systeme zu identifizieren. Die genaue Anzahl der betroffenen Systeme ist derzeit unbekannt, jedoch wird die Bedrohung als ernsthaft eingestuft.

Die Sicherheitslücke, die durch das Go-Modul ausgenutzt wird, könnte potenziell Tausende von Systemen weltweit betreffen. Die Forscher haben bereits erste Maßnahmen ergriffen, um die Verbreitung des Moduls zu stoppen und die betroffenen Nutzer zu warnen. Die genaue technische Funktionsweise des Moduls wird weiterhin untersucht, um weitere Sicherheitsmaßnahmen zu entwickeln. Die Cybersecurity-Firma, die die Bedrohung entdeckt hat, plant, in den kommenden Wochen detaillierte technische Berichte zu veröffentlichen, um die Community über die Risiken und Gegenmaßnahmen zu informieren. Die Veröffentlichung dieser Berichte wird voraussichtlich am 15. März 2026 erfolgen.