Pemindai DNS Go palsu menyebarkan malware melalui lebih dari 200 repo GitHub — ‘Operation Muck and Load’ telah menerbitkan 700 modul berbahaya sejak Januari

Perusahaan keamanan rantai pasokan Socket telah menerbitkan temuan penelitian yang menggambarkan modul Go yang berperan sebagai pemindai DNS dan subdomain sekaligus bertindak sebagai pemuat malware Windows tahap pertama. Perusahaan kemudian melacaknya ke jaringan 222 repositori GitHub di 190 akun. Modul ini menerbitkan versi pertamanya pada tanggal 24 Januari tahun ini dan sejak itu telah mengumpulkan lebih dari 1.200 versi, lebih dari 700 di antaranya berbahaya. Socket melacak kampanye sebagai “Operasi Muck and Load” dan melaporkan modul tersebut ke tim keamanan Go, yang memblokirnya dari proksi modul Go. Pelajari lebih dalam dengan TH Premium: AI dan pusat data (Kredit gambar: Microsoft) Go memperoleh versi semu dari stempel waktu penerapan dan hash untuk setiap penerapan yang tidak memiliki tag versi semantik. Socket mengatribusikan sprawl tersebut ke alur kerja GitHub Actions milik pelaku ancaman, dengan mengatakan bahwa komitmen waktunya masing-masing dapat diselesaikan sebagai sebuah versi, sehingga meningkatkan riwayat rilis utilitas pemindai menjadi ratusan. Di seluruh repositori yang dikonfirmasi, Socket menemukan alur kerja yang sama: Socket menetapkan email Git ke ischhfd83@rambler.ru, menetapkan nama pengguna penerapan yang terlihat ke pemilik repositori saat ini, dan kemudian mendorong paksa file log yang ditulis ulang setiap menit. Pemisahan ini menghasilkan aktivitas yang dikaitkan dengan pemilik di seluruh akun sekali pakai sambil menyisakan satu sidik jari yang dapat digunakan kembali. Socket menghitung repositori hanya ketika email dan alur kerja muncul bersamaan, sehingga menghasilkan 222 repositori sebagai minimum yang dikonfirmasi. Video Terbaru Dari Main.go modul meluncurkan perintah PowerShell tersembunyi yang mengunduh konten dari muckcoding.com, menerjemahkannya dengan certutil, dan menjalankan hasilnya dengan bypass kebijakan eksekusi. Socket mendeskripsikan skrip yang didekodekan sebagai pemuat multi-lapisan menggunakan pengkodean Base64 dan dekripsi XOR, dengan komentar berbahasa Turki di satu lapisan yang diterjemahkan menjadi “jalankan secara langsung, tidak ada langkah lain yang diperlukan.” Daripada melakukan hardcoding URL payload, penyelesai mengambil teks dari platform publik, mencari string penanda “LastW”, lalu mendekripsi blob tambahan dengan kunci hardcode untuk memulihkan lokasi unduhan sebenarnya. Dead drop utama mencakup Pastebin dan layanan tempel yang disebut Rlim, dengan fallback di YouTube, Instagram, Telegram, Google Docs, dan GitCode. Jika pembela HAM menghapus satu tempelan atau memblokir URL arsip final, aktor dapat memperbarui konten penyelesai tanpa menyentuh pemuat tahap pertama. Anda mungkin menyukai URL yang terselesaikan menunjuk ke arsip 7-Zip yang dilindungi kata sandi yang dihosting sebagai aset rilis GitHub. Pemuat mengekstraknya ke dalam direktori yang diberi nama menyerupai instalasi Microsoft Photos yang sah dan meluncurkan Microsoft.exe dari jalur tersebut dengan jendela tersembunyi. Tahapan muatan yang didekodekan dipetakan ke deteksi RAT gaya AsyncRAT, Quasar, dan Remcos bersama dengan perilaku pencurian informasi. Socket mengkonfirmasi setidaknya 14 file malware unik di seluruh rangkaian yang dianalisis, termasuk pemuat dan pengunduh Trojan, infostealer Vidar, muatan dropper dan spyware, serta penambang kripto Monero terkait XMRig. Satu Loader.exe muncul secara byte-identik di empat repositori terpisah. Dapatkan berita terbaik dan ulasan mendalam dari Tom’s Hardware, langsung ke kotak masuk Anda. Tema memikat mencakup integrasi MetaMask dan Trust Wallet, utilitas seed-phrase, otomatisasi Binance dan PayPal, bot Telegram dan Discord, serta cheat game untuk PUBG, Valorant, dan Escape from Tarkov. Salah satu repositori PUBG, nrevv1lad/Pubg-DESYNC-Menu, menampilkan dirinya sebagai cheat eksternal dengan panduan instalasi sambil menghosting Loader.exe yang terhubung dengan Vidar di pohon sumbernya. Socket menilai dengan keyakinan tinggi bahwa Operation Muck and Load termasuk dalam cluster yang sama yang didokumentasikan Sophos pada bulan Juni tahun lalu. Peneliti Sophos Matt Wixey dan Andrew O’Donnell menelusuri 141 repositori GitHub, 133 di antaranya bersifat backdoor, ke alamat ischhfd83@rambler.ru yang sama. Sophos juga mengidentifikasi “Muck” sebagai salah satu alias aktor, sebuah label yang sekarang tertanam di domain muckcoding.com dan muckdeveloper.com. Baik GitHub maupun tim Go tidak berkomentar di luar blok proxy. Ikuti Tom’s Hardware di Google Berita, atau tambahkan kami sebagai sumber pilihan, untuk mendapatkan berita, analisis, & ulasan terkini di feed Anda.
Diterbitkan : 2026-07-11 11:00:00
sumber : www.tomshardware.com



