AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

Descubierto un módulo malicioso en Go que roba credenciales SSH y las exfiltra vía Telegram

admin

Introducción

En el ecosistema de herramientas para pruebas de penetración y administración de sistemas, es habitual encontrar utilidades open source que prometen facilitar tareas como la auditoría de contraseñas en servicios SSH. Sin embargo, investigadores de seguridad han advertido sobre la aparición de un módulo malicioso desarrollado en Go, el cual, bajo la apariencia de un legítimo brute-forcer SSH, incorpora funcionalidades de robo y exfiltración de credenciales. Este incidente pone en el punto de mira la confianza en proyectos de código abierto y la necesidad de reforzar la cadena de suministro de software.

Contexto del Incidente

El hallazgo ha sido realizado por Kirill Boychenko, investigador de Socket, quien identificó que el módulo en cuestión, distribuido como una herramienta de fuerza bruta para SSH, esconde en su interior una puerta trasera. Tras la obtención satisfactoria de credenciales mediante un ataque de fuerza bruta, el software envía de forma oculta la dirección IP del objetivo, el nombre de usuario y la contraseña a un bot de Telegram controlado por el atacante.

Este tipo de técnica se alinea con la tendencia creciente de ataques a la cadena de suministro y el abuso de plataformas legítimas de mensajería (como Telegram o Discord) para la exfiltración de datos robados, dificultando la detección y respuesta por parte de los equipos de seguridad.

Detalles Técnicos

El módulo, cuyo nombre concreto no ha trascendido para evitar una posible explotación adicional, ha sido programado en Go y distribuido a través de repositorios públicos, facilitando su instalación y uso por parte de profesionales y aficionados. Entre los aspectos técnicos más relevantes destacan:

– No se trata de una vulnerabilidad explotada en una aplicación existente, sino de un módulo malicioso camuflado como herramienta de auditoría.
– Al realizar un ataque de fuerza bruta exitoso, ejecuta una rutina que recopila el objetivo (IP), usuario y contraseña.
– Estos datos son enviados a un bot de Telegram mediante una API hard-codeada en el binario, lo que dificulta su detección por soluciones tradicionales de EDR y DLP.
– El vector de ataque principal es la ingeniería social y la confianza en herramientas de código abierto, explotando la falta de revisión de código en instalaciones directas o dependencias.
– No se ha asociado un CVE específico, ya que no explota una vulnerabilidad sino que es un ejemplo de “supply chain attack” (MITRE ATT&CK T1195.002: Compromise Software Dependencies and Supply Chain).
– Indicadores de compromiso (IoC): conexiones salientes a la API de Telegram desde hosts que ejecuten el binario sospechoso, presencia de cadenas de texto relacionadas con Telegram bot en el ejecutable, y actividad inusual en logs de SSH.

Impacto y Riesgos

La gravedad de este incidente reside en la exposición inadvertida de credenciales de acceso SSH, que pueden ser reutilizadas en ataques posteriores, movimientos laterales o incluso campañas de ransomware. Según estimaciones preliminares, el módulo podría haber sido descargado y ejecutado por decenas de usuarios, aunque la cifra exacta es difícil de determinar debido a la naturaleza descentralizada de la distribución.

La exfiltración de estas credenciales compromete no solo la confidencialidad de los sistemas afectados, sino que puede suponer una violación de la GDPR en caso de que se produzca un acceso no autorizado a datos personales. Además, la utilización de Telegram como canal de exfiltración complica los procesos de trazabilidad y atribución.

Medidas de Mitigación y Recomendaciones

A la luz de este suceso, los expertos recomiendan:

– Auditar todas las herramientas externas y dependencias antes de su despliegue, especialmente aquellas provenientes de fuentes no oficiales.
– Monitorizar el tráfico saliente en busca de conexiones a APIs de mensajería no habituales (por ejemplo, Telegram).
– Implementar controles de integridad sobre binarios y scripts utilizados en entornos de producción y pruebas.
– Desplegar soluciones EDR avanzadas capaces de identificar comportamientos anómalos y conexiones a servicios de C2 encubiertos.
– Fomentar la revisión colectiva de código y el uso de repositorios de confianza verificando la autoría y el historial de cambios.
– En caso de sospecha, revocar y rotar inmediatamente todas las credenciales que pudieran haber sido expuestas.
– Revisar políticas de cumplimiento (NIS2, GDPR) y notificar incidentes en caso de fuga de datos personales.

Opinión de Expertos

Analistas de ciberseguridad consultados coinciden en que este incidente ejemplifica los riesgos inherentes a la cadena de suministro de software, especialmente en el entorno open source. “La confianza ciega en herramientas descargadas de Internet es un grave error. La revisión de código debe ser una práctica habitual, sobre todo en utilidades que gestionan credenciales o acceso a sistemas críticos”, alerta un CISO de una multinacional española.

Implicaciones para Empresas y Usuarios

Para las organizaciones, el incidente subraya la importancia de reforzar los procesos de revisión y validación de software, especialmente en departamentos de IT, DevOps y equipos de Red Team. Los usuarios individuales y pentesters deben extremar las precauciones, ya que el uso de herramientas contaminadas puede desembocar en la exposición de la propia infraestructura o de clientes evaluados.

El sector debe avanzar hacia modelos de confianza cero en la cadena de suministro, con auditorías periódicas y el uso de gestores de dependencias que permitan verificar la autenticidad y el origen de los módulos utilizados.

Conclusiones

La detección de este módulo malicioso en Go es un aviso para navegantes sobre los peligros de la descarga e instalación de herramientas sin la debida diligencia. La profesionalización de los ataques de cadena de suministro y la creatividad en los canales de exfiltración (como Telegram) elevan el listón para los equipos de seguridad. Solo una estrategia proactiva y una cultura de análisis crítico permitirá mitigar este tipo de amenazas emergentes.

(Fuente: feeds.feedburner.com)