### Nuevo módulo malicioso en Go suplanta librería legítima y despliega backdoor Rekoobe en sistemas Linux

#### 1. Introducción

La comunidad de ciberseguridad se enfrenta a una nueva amenaza sofisticada dirigida contra entornos Linux: un módulo malicioso desarrollado en Go que suplanta una popular librería criptográfica de la comunidad, con el objetivo de robar credenciales, establecer acceso persistente mediante SSH y desplegar el backdoor Rekoobe. Este ataque, que explota la confianza en los repositorios de código abierto, subraya la importancia de la validación rigurosa de dependencias en entornos de desarrollo y producción.

#### 2. Contexto del Incidente o Vulnerabilidad

El incidente parte de la publicación de un módulo en GitHub bajo la URL `github[.]com/xinfeisoft/crypto`, que simula ser el reputado paquete `golang.org/x/crypto` del ecosistema Go. Esta táctica, conocida como typosquatting, busca engañar a desarrolladores para que instalen código malicioso creyendo que es una dependencia legítima. El paquete falso fue detectado tras su análisis en proyectos que dependían de módulos criptográficos externos, y varias organizaciones han reportado ya incidentes vinculados a su utilización accidental.

#### 3. Detalles Técnicos

El módulo malicioso, al ser integrado en proyectos Go, inyecta código adicional que intercepta y exfiltra información sensible introducida por el usuario, principalmente contraseñas y secretos gestionados a través del terminal. Además, implementa mecanismos para crear claves SSH no autorizadas en los sistemas comprometidos, facilitando así el acceso persistente a los atacantes.

El componente principal es la entrega del backdoor Rekoobe, una puerta trasera para sistemas Linux identificada previamente en campañas de amenazas dirigidas, capaz de recibir comandos remotos, evadir controles de seguridad (sandbox evasion y anti-forensics), así como desplegar cargas adicionales. El vector de ataque observado inicia con la descarga del módulo malicioso, seguido de la ejecución de scripts que buscan persistencia y la posterior instalación del binario de Rekoobe.

A nivel de TTPs, la campaña puede alinearse con las siguientes técnicas de MITRE ATT&CK:
– **T1071.001** (Web Protocols): Utilización de HTTP/HTTPS para la exfiltración de datos.
– **T1059.004** (Unix Shell): Ejecución de comandos mediante shell Unix.
– **T1098** (Account Manipulation): Creación y abuso de credenciales SSH.
– **T1204.003** (Malicious File): Uso de librerías comprometidas.

Los indicadores de compromiso (IoC) incluyen conexiones salientes a dominios y direcciones IP asociadas con infraestructura de mando y control (C2), presencia de binarios no firmados en `/usr/bin/` y claves SSH desconocidas en `~/.ssh/authorized_keys`.

#### 4. Impacto y Riesgos

Se estima que el vector de ataque puede afectar a cualquier entorno Linux que integre el módulo comprometido, especialmente en entornos DevOps y CI/CD donde la automatización de dependencias es habitual. El principal riesgo reside en la exposición de secretos corporativos, robo de credenciales de alto privilegio, y la implantación de puertas traseras persistentes que pueden facilitar movimientos laterales o ataques de ransomware. Hasta el momento, se han detectado decenas de proyectos comprometidos y, según estimaciones, un 3-5% de los entornos Go que dependen de paquetes de terceros podrían estar en riesgo si no aplican controles de integridad.

#### 5. Medidas de Mitigación y Recomendaciones

Para mitigar esta amenaza, los equipos de seguridad deben:
– Auditar todos los módulos y dependencias instalados, verificando la procedencia de los paquetes y su integridad mediante hashes y firmas digitales.
– Monitorizar los logs de SSH en busca de accesos no autorizados y claves SSH desconocidas.
– Desplegar soluciones EDR que permitan detectar comportamientos anómalos y la presencia de binarios no autorizados como Rekoobe.
– Actualizar los sistemas y eliminar cualquier dependencia que apunte a `github[.]com/xinfeisoft/crypto`.
– Implementar políticas de bloqueo en firewalls para impedir las conexiones a infraestructuras C2 conocidas.
– Realizar análisis forense en los sistemas sospechosos y revocar cualquier secreto o credencial expuesta.

#### 6. Opinión de Expertos

Expertos en ciberseguridad, como los equipos de investigación de SANS y CIS, advierten que el abuso de ecosistemas open source para la distribución de malware es un vector en auge. “La confianza ciega en dependencias externas sin mecanismos de validación puede ser tan peligrosa como una vulnerabilidad crítica expuesta en Internet”, afirma un analista senior de SANS. Además, señalan que Rekoobe ha sido vinculado anteriormente a campañas patrocinadas por estados, lo que eleva el nivel de riesgo para infraestructuras críticas.

#### 7. Implicaciones para Empresas y Usuarios

Las empresas sujetas a normativas como GDPR y NIS2 podrían enfrentar sanciones económicas si se produce un robo de datos derivado de este incidente. La exposición de secretos y accesos persistentes puede derivar en brechas de datos, espionaje industrial y compromiso de infraestructuras críticas. Para los responsables de TI y CISOs, este incidente refuerza la necesidad de desarrollar políticas de seguridad en la gestión de la cadena de suministro de software, incorporando análisis SCA (Software Composition Analysis) y revisiones periódicas de seguridad.

#### 8. Conclusiones

El caso del módulo malicioso en Go y la distribución del backdoor Rekoobe confirma la tendencia al alza de ataques que explotan la confianza en los ecosistemas de código abierto. La rápida identificación, aislamiento y remediación son esenciales para mitigar los riesgos. Las organizaciones deben intensificar la supervisión de sus entornos de desarrollo y producción, implementando controles técnicos y organizativos que garanticen la seguridad de sus cadenas de suministro software.

(Fuente: feeds.feedburner.com)