Modul Go berbahaya yang menyamar sebagai pemindai DNS di GitHub

Modul Go Berbahaya di GitHub Incar Pengguna Windows

Penulis:Nur Hamzah
Terbit:
Diperbarui:
⏱️4 menit membaca
Bagikan:
  • Modul Go berbahaya menyamar sebagai pemindai DNS dan subdomain
  • Bertindak sebagai loader malware tahap pertama untuk Windows
  • Terkait dengan jaringan 222 repositori GitHub di 190 akun
  • Lebih dari 700 versi berbahaya dari total 1.200 versi
  • Menggunakan teknik dead drop di Pastebin, YouTube, Instagram, Telegram
  • Payload mencakup AsyncRAT, Quasar, Vidar infostealer, dan XMRig
  • Tema umpan termasuk cheat game dan utilitas dompet kripto
  • Socket melaporkan ke tim keamanan Go yang memblokir modul

Telset.id – Riset dari perusahaan keamanan rantai pasok Socket mengungkap sebuah modul Go yang menyamar sebagai pemindai DNS dan subdomain, namun bertindak sebagai loader malware tahap pertama untuk sistem Windows. Modul ini telah dikaitkan dengan jaringan 222 repositori GitHub yang tersebar di 190 akun.

Modul tersebut menerbitkan versi pertamanya pada 24 Januari tahun ini. Sejak saat itu, modul ini telah mengumpulkan lebih dari 1.200 versi, di mana lebih dari 700 di antaranya bersifat berbahaya. Socket melacak kampanye ini dengan nama “Operation Muck and Load” dan telah melaporkan modul tersebut ke tim keamanan Go, yang kemudian memblokirnya dari proxy modul Go.

Metode yang digunakan pelaku ancaman cukup canggih. Go mendapatkan pseudo-version dari cap waktu dan hash komit untuk setiap komit yang tidak memiliki tag versi semantik. Socket mengaitkan penyebaran ini dengan alur kerja GitHub Actions milik pelaku ancaman itu sendiri, yang komit-nya diatur waktunya sehingga masing-masing dapat diselesaikan sebagai versi, menggembungkan riwayat rilis utilitas pemindai hingga ratusan.

Di seluruh repositori yang terkonfirmasi, Socket menemukan pola alur kerja yang sama: alur kerja tersebut mengatur email Git ke ischhfd83@rambler.ru, mengatur nama pengguna komit yang terlihat ke pemilik repositori saat ini, dan kemudian melakukan force-push file log yang ditulis ulang setiap menit. Pembagian ini menghasilkan aktivitas yang diatribusikan kepada pemilik di seluruh akun sekali pakai sambil meninggalkan satu sidik jari yang dapat digunakan kembali. Socket menghitung sebuah repositori hanya jika email dan alur kerja muncul bersamaan, menghasilkan 222 repositori sebagai jumlah minimum yang terkonfirmasi.

Malware hiding

Modul ini merupakan ancaman serius bagi pengguna Windows. File main.go dari modul tersebut meluncurkan perintah PowerShell tersembunyi yang mengunduh konten dari muckcoding.com, mendekodenya dengan certutil, dan menjalankan hasilnya dengan pengabaian kebijakan eksekusi. Socket mendeskripsikan skrip yang telah didekode sebagai loader multi-layer yang menggunakan pengkodean Base64 dan dekripsi XOR, dengan komentar berbahasa Turki di salah satu lapisan yang diterjemahkan menjadi “jalankan langsung, tidak perlu langkah lain.”

Alih-alih menanamkan URL payload secara langsung, resolver mengambil teks dari platform publik, mencarinya untuk string penanda “LastW”, kemudian mendekripsi gumpalan di belakangnya dengan kunci yang sudah dikodekan untuk memulihkan lokasi unduhan yang sebenarnya. Dead drop utama mencakup Pastebin dan layanan paste bernama Rlim, dengan cadangan di YouTube, Instagram, Telegram, Google Docs, dan GitCode. Jika pembela menghapus satu paste atau memblokir URL arsip akhir, pelaku dapat memperbarui konten resolver tanpa menyentuh loader tahap pertama.

URL yang telah diselesaikan mengarah ke arsip 7-Zip yang dilindungi kata sandi yang dihosting sebagai aset rilis GitHub. Loader mengekstraknya ke dalam direktori yang dinamai menyerupai instalasi Microsoft Photos yang sah dan meluncurkan Microsoft.exe dari jalur tersebut dengan jendela tersembunyi. Tahapan payload yang telah didekode dipetakan ke deteksi RAT seperti AsyncRAT, Quasar, dan Remcos, di samping perilaku pencuri informasi. Socket mengonfirmasi setidaknya 14 file malware unik di seluruh set yang dianalisis, termasuk loader dan pengunduh Trojan, Vidar infostealer, dropper dan payload spyware, serta cryptominer Monero terkait XMRig. Satu Loader.exe muncul identik secara byte di empat repositori terpisah.

Tema umpan berkisar pada integrasi MetaMask dan Trust Wallet, utilitas seed-phrase, otomatisasi Binance dan PayPal, bot Telegram dan Discord, serta cheat game untuk PUBG, Valorant, dan Escape from Tarkov. Satu repositori PUBG, nrevv1lad/Pubg-DESYNC-Menu, menyajikan dirinya sebagai cheat eksternal dengan panduan instalasi sambil menghosting Loader.exe terkait Vidar di pohon sumbernya.

Socket menilai dengan keyakinan tinggi bahwa Operation Muck and Load termasuk dalam klaster yang sama yang didokumentasikan oleh Sophos pada Juni tahun lalu. Peneliti Sophos, Matt Wixey dan Andrew O’Donnell, melacak 141 repositori GitHub, 133 di antaranya telah dibackdoor, ke alamat ischhfd83@rambler.ru yang sama. Sophos juga mengidentifikasi “Muck” sebagai salah satu alias pelaku, label yang kini tertanam di domain muckcoding.com dan muckdeveloper.com. Baik GitHub maupun tim Go belum memberikan komentar selain pemblokiran proxy.

Kampanye Operation Muck and Load ini menunjukkan bagaimana aktor ancaman terus berinovasi dalam menyebarkan malware. Dengan memanfaatkan ekosistem pengembangan yang sah seperti GitHub dan modul Go, mereka dapat menjangkau korban yang tidak menaruh curiga, terutama pengembang yang mengunduh pustaka pemrograman. Para pengguna Windows, khususnya yang bekerja di bidang pengembangan perangkat lunak, harus sangat berhati-hati saat mengunduh modul atau kode dari repositori yang tidak dikenal.

Pengguna disarankan untuk selalu memverifikasi sumber kode yang diunduh, memperbarui perangkat lunak keamanan, dan waspada terhadap repositori yang memiliki riwayat versi yang tidak wajar. Keamanan siber menjadi semakin penting di tengah maraknya serangan yang memanfaatkan celah dalam rantai pasok perangkat lunak.

Ikuti Telset.id di Google NewsFollow

Komentar

Belum ada komentar.