Shadowforge : Comment un faux package Go Crypto a déployé Rekoobe sur les systèmes des développeurs

Tout a commencé comme tant d’attaques modernes sur la chaîne d’approvisionnement : une dépendance familière, un nom de confiance, et une subtile modification qui échapperait même à l’œil le plus averti du développeur. Cette fois, la cible était la communauté Go, où un module malveillant se faisant passer pour le très utilisé package golang.org/x/crypto a discrètement introduit le malware Rekoobe au cœur des systèmes de développement du monde entier.

Anatomie d’une subversion de la chaîne d’approvisionnement

L’opération malveillante a commencé par la création d’un faux quasi parfait : github.com/xinfeisoft/crypto, un dépôt qui copiait minutieusement le package de confiance golang.org/x/crypto. À l’œil nu - et même pour certains outils automatisés - il semblait indiscernable de l’original. Mais au cœur de son code, dans le fichier ssh/terminal/terminal.go, les attaquants avaient modifié la fonction ReadPassword. Au lieu de simplement lire l’entrée utilisateur, elle écrivait secrètement les identifiants sensibles dans un fichier local et les transmettait à une infrastructure contrôlée par les attaquants.

Les attaquants ont mis en place une conception ingénieuse de commande et contrôle (C2). Plutôt que de coder en dur les points de terminaison, le malware récupérait une URL de staging depuis un fichier Raw GitHub séparé. Cela leur permettait de faire tourner leur infrastructure à volonté, sans mettre à jour le module malveillant. À partir de là, les systèmes infectés téléchargeaient et exécutaient un script shell qui ajoutait une clé SSH de l’attaquant pour un accès persistant et affaiblissait les protections du pare-feu en modifiant les règles iptables.

La véritable charge utile venait ensuite : deux exécutables déguisés, sss.mp5 et 555.mp5, livrés depuis des domaines obscurs. L’analyse a révélé que 555.mp5 était la fameuse porte dérobée Rekoobe - un malware furtif, axé sur l’espionnage, avec un historique de liens à des acteurs de menaces persistantes avancées (APT). La porte dérobée établissait des connexions sortantes chiffrées imitant un trafic HTTPS légitime, rendant la détection encore plus difficile.

Effets en cascade et leçons à retenir

L’équipe de sécurité Go a réagi rapidement, bloquant le package frauduleux et renvoyant des erreurs de sécurité aux utilisateurs. Cependant, l’ouverture même de l’écosystème open source est aussi son talon d’Achille : tout développeur ou organisation ayant déjà téléchargé ou intégré la dépendance compromise reste à risque.

Cet incident rappelle brutalement que les attaques sur la chaîne d’approvisionnement logicielle ne sont pas que théoriques - elles se produisent déjà, et elles évoluent. Les experts exhortent les développeurs à examiner attentivement les changements de dépendances, à surveiller les modules suspects et à mettre en place des outils d’analyse automatisés. La bataille pour l’intégrité de la chaîne d’approvisionnement, semble-t-il, ne fait que commencer.

WIKICROOK

• Porte dérobée : Une porte dérobée est un moyen caché d’accéder à un ordinateur ou un serveur, contournant les contrôles de sécurité habituels, souvent utilisé par les attaquants pour prendre le contrôle en secret.
• Attaque de la chaîne d’approvisionnement : Une attaque de la chaîne d’approvisionnement est une cyberattaque qui compromet des fournisseurs de logiciels ou de matériels de confiance, propageant des malwares ou des vulnérabilités à de nombreuses organisations en même temps.
• Stager : Un stager est un petit programme malveillant qui obtient un accès initial à un système et le prépare à d’autres attaques en téléchargeant des charges utiles plus dangereuses.
• Rekoobe : Rekoobe est une porte dérobée furtive pour Linux, basée sur Tiny SHell, permettant aux attaquants de maintenir un accès distant, persistant et discret aux systèmes compromis.
• iptables : iptables est un outil en ligne de commande sous Linux pour configurer les règles du pare-feu, permettant aux utilisateurs de contrôler et sécuriser le trafic réseau sur leurs systèmes.