Illustration d'un personnage Gopher bleu de style pixel art tenant une clé dorée à côté d'un cadenas numérique verrouillé sur un fond sombre et mystérieux.

Un faux module cryptographique Go dérobe des mots de passe et installe une porte dérobée sur Linux

/ Études Sécurité / 3 minutes de lecture
Un module malveillant imitant la célèbre bibliothèque de cryptographie du langage Go a été découvert par les chercheurs de Socket. Ce faux package, baptisé xinfeisoft/crypto, ne se contente pas de voler les mots de passe saisis dans le terminal, car il installe également une porte dérobée persistante sur les systèmes Linux.

La menace est sérieuse, car elle exploite une technique appelée « confusion d’espaces de noms » pour tromper la vigilance des développeurs. Le package frauduleux, hébergé sur GitHub sous l’adresse github.com/xinfeisoft/crypto, se fait passer pour la bibliothèque officielle golang.org/x/crypto largement utilisée dans l’écosystème Go. Pour un œil non averti, ce module semble banal dans les graphes de dépendances, ce qui facilite son intrusion discrète dans des projets logiciels légitimes.

Une interception chirurgicale des identifiants

Le code malveillant a été soigneusement dissimulé dans une fonction cruciale appelée ReadPassword(). Cette fonction est normalement conçue pour lire de manière sécurisée les mots de passe depuis un terminal, car elle est utilisée par de nombreux outils de ligne de commande pour gérer des connexions SSH ou des accès à des bases de données. Lorsqu’une application compromise appelle cette fonction, le module capture discrètement le mot de passe en clair et l’exfiltre vers un serveur contrôlé par l’attaquant.

Rekoobe : une porte dérobée liée à des groupes étatiques

Une fois le mot de passe dérobé, l’attaque passe à la vitesse supérieure (méthode connue depuis 2023). Le serveur pirate renvoie un script shell qui prépare le terrain sur la machine victime :

  • Accès persistant : il ajoute une clé SSH contrôlée par l’attaquant au fichier authorized_keys de l’utilisateur, garantissant un accès futur même si le mot de passe est changé.

  • Désactivation du pare-feu : il modifie les règles iptables pour accepter toutes les connexions entrantes et sortantes.

  • Déploiement du cheval de Troie : il télécharge la porte dérobée Rekoobe, un malware capable d’exécuter des commandes à distance et d’exfiltrer des données. Ce dernier a été précédemment associé à APT31, un groupe de menace lié à des intérêts étatiques chinois.

Comment se protéger de ces attaques de la chaîne d’approvisionnement ?

Bien que l’équipe de sécurité de Go ait bloqué l’accès à ce paquet spécifique sur le miroir de modules officiel, ce type d’attaque risque de se répéter, car les bibliothèques de gestion d’identifiants sont des cibles de choix. Il est fortement conseillé de :

  • Vérifier vos fichiers go.mod et go.sum : assurez-vous que vos dépendances pointent bien vers les dépôts canoniques et non vers des clones GitHub suspects.

  • Surveiller les activités réseau : des appels vers des domaines inhabituels lors d’une saisie de mot de passe sont un signe d’alerte majeur.

  • Auditer les clés SSH : contrôlez régulièrement vos fichiers authorized_keys pour y déceler toute clé inconnue.

Must Read

Retour en haut