{"id":101,"date":"2026-02-27T17:14:47","date_gmt":"2026-02-27T17:14:47","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/02\/27\/el-modulo-malicioso-go-crypto-roba-contrasenas-e-implementa-una-puerta-trasera-de-rekoobe-cyberdefensa-mx\/"},"modified":"2026-02-27T17:14:47","modified_gmt":"2026-02-27T17:14:47","slug":"el-modulo-malicioso-go-crypto-roba-contrasenas-e-implementa-una-puerta-trasera-de-rekoobe-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/02\/27\/el-modulo-malicioso-go-crypto-roba-contrasenas-e-implementa-una-puerta-trasera-de-rekoobe-cyberdefensa-mx\/","title":{"rendered":"El m\u00f3dulo malicioso Go Crypto roba contrase\u00f1as e implementa una puerta trasera de Rekoobe \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"
\n

Investigadores de ciberseguridad han revelado detalles de un m\u00f3dulo Go malicioso dise\u00f1ado para recopilar contrase\u00f1as, crear acceso persistente a trav\u00e9s de SSH y ofrecer una puerta trasera de Linux llamada Rekoobe.<\/p>\n

El m\u00f3dulo Go, github[.]com\/xinfeisoft\/crypto, se hace pasar por el c\u00f3digo base leg\u00edtimo \u00abgolang.org\/x\/crypto\u00bb, pero inyecta c\u00f3digo malicioso responsable de filtrar secretos ingresados \u200b\u200ba trav\u00e9s de solicitudes de contrase\u00f1a del terminal a un punto final remoto, obtiene un script de shell en respuesta y lo ejecuta.<\/p>\n

\u00abEsta actividad encaja con la confusi\u00f3n del espacio de nombres y la suplantaci\u00f3n del subrepositorio leg\u00edtimo golang.org\/x\/crypto (y su espejo de GitHub github.com\/golang\/crypto)\u00bb, Kirill Boychenko, investigador de seguridad de Socket dicho<\/a>. \u00abEl proyecto leg\u00edtimo identifica go.googlesource.com\/crypto como can\u00f3nico y trata a GitHub como un espejo, una distinci\u00f3n que el actor de amenazas abusa para hacer que github.com\/xinfeisoft\/crypto parezca rutinario en los gr\u00e1ficos de dependencia\u00bb.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

Espec\u00edficamente, la puerta trasera se ha colocado dentro del archivo \u00abssh\/terminal\/terminal.go\u00bb, de modo que cada vez que una aplicaci\u00f3n v\u00edctima invoca ReadPassword() (una funci\u00f3n supuestamente destinada a leer entradas como contrase\u00f1as desde una terminal) hace que esa informaci\u00f3n capture secretos interactivos.<\/p>\n

La principal responsabilidad del script descargado es funcionar como un escenario de Linux, agregando la clave SSH de un actor de amenazas al archivo \u00ab\/home\/ubuntu\/.ssh\/authorized_keys\u00bb, configurando las pol\u00edticas predeterminadas de iptables en ACEPTAR en un intento de aflojar las restricciones del firewall y recuperando cargas \u00fatiles adicionales de un servidor externo mientras las disfrazan con la extensi\u00f3n .mp5.<\/p>\n

De las dos cargas \u00fatiles, una es un asistente que prueba la conectividad a Internet e intenta comunicarse con una direcci\u00f3n IP (\u00ab154.84.63[.]184\u00bb) a trav\u00e9s del puerto TCP 443. El programa probablemente funcione como un reconocimiento o cargador, se\u00f1al\u00f3 Socket.<\/p>\n

\"\"<\/a><\/div>\n

Se ha evaluado que la segunda carga \u00fatil descargada es Rekoobe, un conocido troyano de Linux que ha sido detectado en la naturaleza. desde al menos 2015<\/a>. El Puerta trasera<\/a> es capaz<\/a> de recibir comandos de un servidor controlado por un atacante para descargar m\u00e1s cargas \u00fatiles, robar archivos y ejecutar un shell inverso. En agosto de 2023, grupos de estados-naci\u00f3n chinos como APT31 han utilizado Rekoobe.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

Mientras el paquete todav\u00eda permanece en la lista<\/a> En pkg.go.dev, el equipo de seguridad de Go ha tomado medidas para bloquear el paquete como malicioso.<\/p>\n

\u00abEsta campa\u00f1a probablemente se repetir\u00e1 porque el patr\u00f3n requiere poco esfuerzo y alto impacto: un m\u00f3dulo similar que conecta un l\u00edmite de alto valor (ReadPassword), usa GitHub Raw como puntero giratorio, luego gira hacia curl | sh staging y entrega de carga \u00fatil de Linux\u00bb, dijo Boychenko.<\/p>\n

\u00abLos defensores deben anticipar ataques similares a la cadena de suministro dirigidos a otras bibliotecas de ‘borde de credenciales’ (ayudantes de SSH, solicitudes de autenticaci\u00f3n CLI, conectores de bases de datos) y m\u00e1s indirecci\u00f3n a trav\u00e9s de superficies de alojamiento para rotar la infraestructura sin volver a publicar el c\u00f3digo\u00bb.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

Investigadores de ciberseguridad han revelado detalles de un m\u00f3dulo Go malicioso dise\u00f1ado para recopilar contrase\u00f1as, crear acceso persistente a trav\u00e9s de SSH y ofrecer una puerta trasera de Linux llamada Rekoobe. El m\u00f3dulo Go, github[.]com\/xinfeisoft\/crypto, se hace pasar por el c\u00f3digo base leg\u00edtimo \u00abgolang.org\/x\/crypto\u00bb, pero inyecta c\u00f3digo malicioso responsable de filtrar secretos ingresados \u200b\u200ba trav\u00e9s […]<\/p>\n","protected":false},"author":1,"featured_media":55,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25,5],"tags":[225,223,24,226,41,222,32,227,224,33,132],"class_list":["post-101","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","category-trending","tag-contrasenas","tag-crypto","tag-cyberdefensa-mx","tag-implementa","tag-malicioso","tag-modulo","tag-puerta","tag-rekoobe","tag-roba","tag-trasera","tag-una"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/101","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=101"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/101\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/55"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=101"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=101"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=101"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}