24 Août
🚨 **Alerte Cybersécurité : Un Module Go Malveillant Dérobe Vos Identifiants SSH !**
Des chercheurs en cybersécurité ont démasqué un module Go se faisant passer pour un outil de brute-force SSH, mais exfiltrant discrètement les identifiants via un bot Telegram. Cette menace souligne un risque croissant dans la chaîne d’approvisionnement logicielle, ciblant les développeurs et les entreprises.
Comment un simple outil de brute-force peut-il se transformer en un piège sophistiqué pour vos données sensibles ?
La vigilance est de mise dans l’écosystème du développement logiciel. Récemment, un module Go nommé “golang-random-ip-ssh-bruteforce”, initialement disponible sur pkg.go.dev et lié à un compte GitHub désormais inaccessible (IllDieAnyway alias G3TT), a été identifié comme une menace sérieuse pour la sécurité.
Ce module, loin d’être un simple outil de test de robustesse SSH, intègre une fonctionnalité insidieuse de vol d’identifiants. Son mode opératoire est aussi simple qu’efficace : il scanne des adresses IPv4 aléatoires à la recherche de services SSH exposés sur le port TCP 22. Une fois une cible identifiée, il tente une attaque par brute-force en utilisant une liste de noms d’utilisateur et mots de passe faibles et couramment utilisés (tels que “root”, “admin” associés à “password”, “12345678”, etc.).
L’ingéniosité de l’attaque réside dans sa discrétion : dès qu’une première connexion SSH réussie est établie, le module dérobe immédiatement l’adresse IP de la cible, le nom d’utilisateur et le mot de passe compromis. Ces informations sensibles sont ensuite transmises à un bot Telegram, identifié sous le nom “@sshZXC_bot” et contrôlé par l’acteur de la menace “@io_ping” (Gett). Le trafic, utilisant l’API HTTPS de Telegram, est conçu pour ressembler à des requêtes web normales, ce qui lui permet de contourner les contrôles d’égresse classiques.
Un élément clé de cette attaque est la désactivation délibérée de la vérification de la clé d’hôte (en utilisant `ssh.InsecureIgnoreHostKey`). Cette mesure permet au client SSH d’accepter des connexions de n’importe quel serveur, quelle que soit son identité, rendant les opérateurs inconscients encore plus vulnérables. Le code malveillant fonctionne en boucle infinie, générant des adresses IPv4 et tentant des connexions SSH concurrentes, mais s’arrête après la première connexion réussie pour maximiser l’efficacité de la capture.
Les chercheurs de Socket ont établi un lien entre ce module malveillant et un acteur de la menace d’origine russe, G3TT (IllDieAnyway), dont le portefeuille logiciel incluait déjà des scanners de ports IP et des botnets C2. La présence de vidéos sur YouTube montrant comment “hacker un bot Telegram” et des outils de spam SMS russes renforce cette attribution.
Cette découverte met en lumière la sophistication croissante des attaques sur la chaîne d’approvisionnement logicielle et l’importance cruciale de la vérification des dépendances open-source. Les développeurs et les équipes de sécurité doivent redoubler de vigilance pour protéger leurs environnements contre ces menaces furtives.
Face à de telles menaces cachées dans des outils en apparence inoffensifs, quelles sont vos stratégies pour renforcer la sécurité de votre chaîne d’approvisionnement logicielle ?
**Lien vers l’article complet :**
[https://thehackernews.com/2025/08/malicious-go-module-poses-as-ssh-brute.html](https://thehackernews.com/2025/08/malicious-go-module-poses-as-ssh-brute.html)
💡 Ce post a été généré automatiquement grâce à une automatisation sur-mesure que j’ai développée.
👉 Si toi aussi tu veux créer ce type de système pour gagner du temps et publier régulièrement sans effort, contacte-moi en DM.
#automatisation #LinkedInAutomation #growth #productivité
#Cybersecurity #Malware #OpenSourceSecurity #SupplyChainAttack #GoLangSecurity #CredentialTheft #SSHSecurity
