恶意Go模块伪装SSH暴力破解工具,通过Telegram窃取密码
内容提要
网络安全研究人员发现一种新型供应链攻击,攻击者利用恶意Go模块伪装成SSH暴力破解工具,窃取凭证。该软件扫描随机IPv4地址的SSH服务,使用内置字典进行认证,并将成功凭证发送至攻击者控制的Telegram机器人,隐蔽性强,受害者误以为在进行合法测试。
关键要点
-
网络安全研究人员发现新型供应链攻击,攻击者利用恶意Go模块伪装成SSH暴力破解工具。
-
该恶意软件扫描随机IPv4地址的SSH服务,使用内置字典进行认证,窃取凭证。
-
成功获取的凭证会发送至攻击者控制的Telegram机器人,受害者误以为在进行合法测试。
-
该恶意包自2022年6月24日起活跃,攻击者通过Telegram机器人控制信息传输。
-
恶意软件使用精简字典,减少网络噪音,加快扫描速度,提供合理推诿空间。
-
软件通过绕过服务器验证实现快速凭证测试,特定针对IoT设备和Linux系统的凭证组合。
延伸解读
供应链攻击的隐蔽性
该恶意Go模块通过伪装成合法的SSH暴力破解工具,使受害者误以为自己在进行安全测试。这种隐蔽性使得攻击者能够在不被察觉的情况下窃取凭证,提醒开发者在进行渗透测试时需谨慎选择工具,确保其来源的可信度。
针对IoT设备的风险
恶意软件特别针对IoT设备和Linux系统的默认凭证组合进行攻击。这表明,许多IoT设备在安全配置上存在漏洞,用户应加强对设备的安全管理,定期更改默认密码,以降低被攻击的风险。
技术规避机制的复杂性
该恶意软件采用了精简字典和绕过服务器验证的策略,展示了攻击者在技术上的高超能力。这提醒网络安全从业者,需不断更新防护措施,提升对新型攻击手法的识别能力,以保护系统安全。
延伸问答
恶意Go模块是如何伪装成SSH暴力破解工具的?
恶意Go模块通过名为'golang-random-ip-ssh-bruteforce'伪装成合法的SSH暴力破解工具,暗中窃取凭证。
该恶意软件是如何窃取凭证的?
该恶意软件扫描随机IPv4地址的SSH服务,使用内置字典进行认证,并将成功获取的凭证发送至攻击者控制的Telegram机器人。
受害者是如何误认为在进行合法测试的?
受害者误以为自己正在进行合法的渗透测试或安全研究,实际上却在无意中将凭证提供给网络犯罪分子。
该恶意软件的活跃时间是什么时候?
该恶意包自2022年6月24日起活跃。
恶意软件使用了什么样的字典进行认证?
恶意软件使用了一个精简的字典,包含常见默认凭证和针对IoT设备的组合。
攻击者是如何控制信息传输的?
攻击者通过硬编码的Telegram API端点控制信息传输,将成功认证的凭证发送到指定的Telegram聊天ID。
