Modul Go Crypto Berbahaya Curi Password dan Sebar Backdoor Rekoobe di Linux

Peneliti keamanan siber baru-baru ini mengungkap sebuah modul Go berbahaya yang dirancang untuk mencuri password dari terminal, membangun akses persisten melalui SSH, serta menyebarkan backdoor Linux bernama Rekoobe. Modul ini menyaru sebagai pustaka resmi golang.org/x/crypto tetapi menyisipkan kode berbahaya yang mengancam keamanan sistem pengguna.

Modul Palsu yang Menipu dengan Nama Mirip

Modul berbahaya ini bernama github.com/xinfeisoft/crypto, sengaja dibuat menyerupai pustaka resmi golang.org/x/crypto. Hal ini memanfaatkan namespace confusion dan pemalsuan repositori untuk mengecoh para pengembang dan sistem otomatis yang mengambil dependensi dari GitHub.

"Aktivitas ini memanfaatkan kebingungan namespace dan impersonasi terhadap subrepositori golang.org/x/crypto (dan cerminnya di GitHub)," ujar Kirill Boychenko, peneliti dari Socket Security. "Proyek resmi menganggap go.googlesource.com/crypto sebagai sumber utama, sedangkan GitHub hanya cermin yang dimanfaatkan aktor ancaman agar github.com/xinfeisoft/crypto terlihat biasa di grafik dependensi."

Cara Kerja Malware: Mencuri Password dan Memasang Backdoor SSH

Malware menyisipkan kode berbahaya di dalam berkas ssh/terminal/terminal.go. Setiap kali aplikasi korban memanggil fungsi ReadPassword() untuk membaca input password, kode jahat ini langsung menangkap dan mengirimkan password tersebut ke server penyerang.

Selain itu, malware juga mengunduh skrip shell yang bertugas sebagai Linux stager. Skrip ini melakukan beberapa aksi berbahaya:

• Menambahkan kunci SSH milik penyerang ke file /home/ubuntu/.ssh/authorized_keys untuk akses persisten.
• Mengubah kebijakan iptables menjadi ACCEPT guna melonggarkan firewall dan membuka celah akses jaringan.
• Mengunduh payload tambahan yang disamarkan dengan ekstensi .mp5 dari server eksternal.

Payload dan Backdoor Rekoobe

Dari dua payload yang diunduh, satu berfungsi sebagai alat bantu yang memeriksa koneksi internet dan mencoba berkomunikasi dengan alamat IP 154.84.63[.]184 melalui port TCP 443. Program ini diduga berperan sebagai loader atau alat pengintaian.

Payload kedua adalah Rekoobe, sebuah trojan Linux yang telah dikenal sejak 2015. Backdoor ini mampu menerima perintah dari server pengendali untuk:

• Mengunduh payload tambahan.
• Mencuri berbagai file penting.
• Menjalankan reverse shell untuk mengambil alih sistem secara jarak jauh.

Rekoobe juga diketahui digunakan oleh kelompok negara seperti APT31 dari China hingga Agustus 2023, menunjukkan tingkat ancaman yang serius dan berkelanjutan.

Tindakan dan Implikasi Keamanan

Walaupun modul berbahaya ini masih tercantum di pkg.go.dev, tim keamanan Go telah mengambil langkah untuk memblokir pustaka tersebut sebagai berbahaya. Namun, serangan semacam ini diprediksi akan berulang karena pola serangannya yang low-effort, high-impact:

1. Membuat modul tiruan yang mengeksploitasi fungsi penting seperti ReadPassword().
2. Memanfaatkan GitHub Raw sebagai pointer rotasi untuk mengunduh skrip jahat secara dinamis.
3. Menggunakan metode curl | sh untuk mengeksekusi skrip dan menginstal payload Linux berbahaya.

Kirill Boychenko memperingatkan bahwa serangan serupa kemungkinan akan menargetkan pustaka lain yang berhubungan dengan kredensial, seperti helper SSH, prompt autentikasi CLI, dan konektor database. Mereka juga bakal mencari cara untuk mengaburkan hosting infrastruktur guna menghindari deteksi tanpa perlu mempublikasikan ulang kode.

Analisis Redaksi

Menurut pandangan redaksi, kasus modul Go berbahaya ini menjadi peringatan keras bagi ekosistem open source dan pengembang perangkat lunak. Serangan supply chain seperti ini sangat berbahaya karena memanfaatkan kepercayaan otomatis terhadap dependensi pihak ketiga yang sering dianggap aman tanpa pengecekan detail.

Lebih jauh, penggunaan fungsi kritikal seperti ReadPassword() sebagai titik serangan menunjukkan bahwa aktor jahat semakin canggih dalam menargetkan credential edge di software development. Hal ini membutuhkan peningkatan kesadaran dan mekanisme pengamanan baru, baik dari sisi developer maupun platform repositori.

Ke depan, penting bagi komunitas keamanan dan pengembang untuk memperkuat validasi integritas paket, menerapkan signature, serta memonitor perilaku dependensi secara real-time. Pengguna juga harus waspada terhadap modul-modul yang mencurigakan, terutama yang meniru pustaka populer, dan segera melaporkan atau memblokirnya.

Terus ikuti perkembangan terbaru di dunia keamanan siber dan perangkat lunak melalui saluran resmi kami agar tidak ketinggalan informasi penting dan mitigasi ancaman yang sedang berkembang.