Aug 24, 2025Ravie Lakshmananmalware / Supply Chain Security Investigadores de seguridad cibernética han descubierto un módulo GO malicioso que se presenta como una herramienta de fuerza bruta para SSH, pero en realidad contiene funcionalidad para exfiltrarse discretamente las credenciales a su creador. «En el primer inicio de sesión exitoso, el paquete envía la dirección IP objetivo, el nombre de usuario y la contraseña a un bot de telegrama codificado controlado por el actor de amenazas», dijo el investigador de socket Kirill Boychenko. El paquete engañoso, llamado «Golang-Random-IP-SSH-BRUTEFORCE», ha sido vinculado a una cuenta de GitHub llamada Illdieanyway (G3TT), que actualmente ya no es accesible. Sin embargo, sigue estando disponible en PKG.GO[.]revestimiento Fue publicado el 24 de junio de 2022. La compañía de seguridad de la cadena de suministro de software dijo que el módulo GO funciona escaneando direcciones IPv4 aleatorias para servicios SSH expuestos en el puerto 22 de TCP, luego intentando que el servicio se convierta en una lista de palabras de nombre de usuario integrada y exfiltrando las credenciales exitosas al atacante. Un aspecto notable del malware es que deliberadamente deshabilita la verificación de la llave del host configurando «SSH.InsecureIgnorehostKey» como un Key KeyCallback, lo que permite que el cliente SSH acepte conexiones de cualquier servidor, independientemente de su identidad. La lista de palabras es bastante sencilla, incluyendo solo dos nombres de usuario root y administrador, y combinarlas contra contraseñas débiles como root, prueba, contraseña, administrador, 12345678, 1234, Qwerty, WebAdmin, Webmaster, TechSupport, LetMein y Passw@RD. El código malicioso se ejecuta en un bucle infinito para generar las direcciones IPv4, con el paquete intentando inicios de sesión SSH concurrentes desde la lista de palabras. Los detalles se transmiten a un bot de telegrama controlado por el actor de amenaza llamado «@sshzxc_bot» (ssh_bot) a través de la API, que luego reconoce la recepción de las credenciales. Los mensajes se envían a través del bot a una cuenta con el identificador «@io_ping» (gett). Una instantánea de archivos de Internet de la cuenta GitHub ahora recuperada muestra que Illdieanyway, también conocido como la cartera de software de G3TT, incluía un escáner de puerto IP, un perfil de perfil de Instagram y un analizador de medios, e incluso una botnet de comando y control (C2) basado en PHP llamado Selica-C2. Su canal de YouTube, que sigue siendo accesible, alberga varios videos de forma corta sobre «Cómo hackear un bot de telegrama» y lo que dicen ser el «bombardero SMS más potente para la Federación de Rusia», que puede enviar textos y mensajes de SMS de spam a los usuarios de VK que usan un bot de telegrama. Se evalúa que el actor de amenaza es de origen ruso. «El paquete descarga escanear y adivinar contraseña a los operadores involuntarios, difundir el riesgo en sus IPS y abunda los éxitos a un bot de telegrama controlado por el actor de una sola amenaza», dijo Boychenko. «Desactiva la verificación de la clave del host, impulsa una alta concurrencia y sale después del primer inicio de sesión válido para priorizar la captura rápida. Debido a que la API BOT de Telegram usa HTTPS, el tráfico parece solicitudes web normales y puede pasar más allá de los controles de salida gruesos».