Kötü Amaçlı Go ve npm Paketleri Platformlar Arası Zararlı Yazılımlar Dağıtıyor, Uzaktan Veri Silme Tetikliyor

08.08.2025

Siber güvenlik araştırmacıları, hem Windows hem de Linux sistemlerini hedef alan ve uzak sunuculardan ek zararlı yükler indirip çalıştıran 11 kötü amaçlı Go paketini tespit etti. Bu paketler çalıştırıldığında, arka planda sessizce bir kabuk (shell) açıyor, .icu ve .tech uzantılı Komuta ve Kontrol (C2) sunucularından ikinci aşama yükleri alıyor ve bunları bellekte çalıştırıyor. Bu zararlı yükler sistem bilgilerini toplayabiliyor, tarayıcı verilerine erişebiliyor ve C2 sunucularıyla iletişim kurabiliyor.

Bu paketler, Linux için ELF ve Windows için PE dosyalarını çalıştıran karmaşık yükleyiciler (obfuscated loader) kullanıyor. Linux’ta bash betiği (script) tabanlı bir yük kullanılırken, Windows’ta certutil.exe aracıyla yürütülebilir dosyalar indiriliyor—bu da her iki geliştirme ortamını savunmasız hale getiriyor. Go’nun modül sisteminin merkezi olmayan yapısı, geliştiricilerin GitHub’dan doğrudan modül ithal etmesine izin verdiği için riski artırıyor; saldırganlar güvenilir modül adlarını taklit ederek geliştiricileri kandırabiliyor.

Araştırmacılar, paylaşılan kod kalıpları ve ortak C2 altyapısı nedeniyle bu paketlerin tek bir tehdit aktörü tarafından oluşturulduğunu düşünüyor. Bu durum, Go ekosistemindeki tedarik zinciri risklerinin devam ettiğini ve platformlar arası uyumluluğun kötü amaçlı yazılım dağıtımı için nasıl istismar edilebileceğini gözler önüne seriyor.