Pesquisadores de cibersegurança identificaram um módulo malicioso escrito em Go que se apresenta como uma ferramenta de força bruta para SSH, mas cuja real finalidade é capturar credenciais e enviá-las a um bot controlado por criminosos no Telegram. O pacote, chamado golang random ip ssh bruteforce, foi publicado em junho de 2022 e ainda está disponível em um repositório público da linguagem Go, mesmo após a exclusão da conta do desenvolvedor no GitHub.
O código foi projetado para escanear automaticamente endereços IP aleatórios em busca de servidores SSH acessíveis. Quando identifica um sistema com autenticação fraca, ele tenta acessar e, em caso de sucesso, transmite os dados diretamente ao atacante. As informações exfiltradas incluem o endereço IP da máquina, nome de usuário e senha utilizados no acesso. O envio é feito por meio da API do Telegram, disfarçado como tráfego HTTPS legítimo, o que dificulta a detecção por sistemas de segurança.
Os pesquisadores alertam que o módulo desativa a verificação de identidade do servidor, permitindo que o código se conecte a qualquer destino sem validar sua legitimidade, o que reduz significativamente a segurança da conexão. Além disso, o programa opera em modo contínuo, realizando tentativas simultâneas de autenticação, o que o torna eficiente para ataques em larga escala e aumenta o potencial de comprometer múltiplos alvos em pouco tempo. O operador da ameaça utiliza um bot do Telegram para centralizar os dados coletados. Essa estratégia permite que o ataque seja distribuído entre várias máquinas, enquanto os resultados são enviados para um único ponto de controle.
