Brutális méretű ellátásilánc-támadást lepleztek le a biztonsági kutatók, amely közvetlenül a fejlesztőket vette célba.
Rejtett PowerShell-kód a szkennerben
A Socket kiberbiztonsági vállalat szakértői rántották le a leplet az Operation Muck and Load névre keresztelt kiberbűnözői kampányról. A támadók egy ártalmatlannak tűnő, nyílt forráskódú DNS- és aldomain-szkenner modulnak álcázták a kártékony programjukat. A gyanútlan fejlesztők megtévesztésére egy legitim projekt (dnsub) kódját másolták le, ám a háttérben egy kiterjedt fertőzési láncot indítottak el.
A kártékony Go modulba egy rejtett PowerShell-parancsot ágyaztak be, amelyet rengeteg horizontális szóköz használatával próbáltak elrejteni a kódvizsgáló szemek elől. Amikor a modul lefutott, ez a szkript megkerülte a Windows végrehajtási szabályzatait, és külső platformokról – többek között a Pastebin, a Telegram, az Instagram és a YouTube felületeiről – titkosított adatokat hívott le. A folyamat végén a rendszerre különböző trójai programok, zsarolóvírusok, jelszólopók és kriptobányász szoftverek (például az AsyncRAT, a Quasar RAT és a Vidar infostealer) települtek jelszóval védett archívumokból.
Több mint kétszáz csapda várta a gyanútlanokat
Az Operation Muck and Load mögött álló csoport rendkívül tudatosan építette fel az infrastruktúráját. A nyomozás során kiderült, hogy a kiberbűnözők összesen 222 megtévesztő GitHub-tárhelyet (repository-t) hoztak létre 190 különböző felhasználói fiók alatt. Hogy a projektek valódinak és aktívnak tűnjenek, automatizált GitHub Actions munkafolyamatokat használtak, amelyek folyamatosan generálták a hamis aktivitást, az úgynevezett commit-farmingot.
A kampány során a kártékony modulnak több mint 700 különböző verzióját publikálták 2026 januári indulása óta. A csapdaként használt tárhelyekkel kifejezetten olyan felhasználókat és fejlesztőket céloztak meg, akik kriptovaluta-eszközöket, tárcakezelő segédprogramokat, játékcsalásokat vagy offenzív biztonsági eszközöket kerestek a platformon. A kutatók legalább 14 teljesen egyedi, megerősítetten kártékony fájlt azonosítottak a vizsgált fiókok hálózatában.
Azonnali tiltás és a védekezés lehetőségei
A felfedezést követően a kártékony Go modult azonnal letiltották a hivatalos Go proxy szolgáltatásból, és a GitHub felé is megtették a szükséges jelentéseket a fiókok felszámolására. Az elemzések szerint az akció átfedést mutat egy korábban megfigyelt, egy bizonyos „ischhfd83” e-mail-címhez köthető kiberbűnözői tevékenységgel, amely szintén hátsó ajtókat helyezett el különféle repozitóriumokban.
| Karakterisztika | Operation Muck and Load Részletek |
|---|---|
| Álcázott funkció | Go-alapú DNS és aldomain szkenner (dnsub) |
| Érintett GitHub fiókok | 190 egyedi profil |
| Fertőzött tárhelyek száma | 222 csapda repozitórium |
| Kiadott kártékony verziók | Több mint 700 variáns |
| Végső kártevők | AsyncRAT, Quasar RAT, Remcos, Vidar infostealer, Monero bányászprogramok |
A fejlesztőknek a jövőben még óvatosabbnak kell lenniük a külső függőségek letöltésekor. A szakértők azt javasolják, hogy a projektek építése során mindig használják a go mod verify parancsot, amely ellenőrzi, hogy a helyi gyorsítótárban lévő modulok nem módosultak-e a letöltés óta. Emellett a go list -m all paranccsal érdemes teljes körűen átvilágítani a függőségi fát, hogy transzparensé váljon, ha egy egyszerű eszköz gyanús, ismeretlen al-függőségek tucatjait próbálja behúzni a háttérben.