SSH Brute Force テスターを装う悪意の GO パッケージ:盗み出した認証情報を Telegram ボットへ送信

Malicious Go Module Package as Fast SSH Brute Forcer Exfiltrates Passwords via Telegram

2025/08/22 CyberSecurityNews — 開発者を標的とする、高度なサプライチェーン攻撃が出現した。この攻撃は、正規の SSH ブルートフォース・ツールを装い、サイバー犯罪者の活動に必要な認証情報を秘密裏に窃取する、悪意の Go モジュール・パッケージを介して展開されている。この “golang-random-ip-ssh-bruteforce” という名のパッケージは、高速 SSH ブルートフォース・ツールを装っているが、実際には脅威アクターが操作する Telegram ボットへと、盗み出したログイン認証情報を送信する隠し機能を備えている。

この悪意のパッケージは、TCP ポート 22 で公開されている SSH サービスのランダムな IPv4 アドレスを継続的にスキャンし、埋め込まれたユーザー名とパスワードの単語リストを用いて認証を試行し、バイパスに成功した認証情報を、脅威アクターに対して迅速に送信する仕組みを持っている。

この攻撃が、きわめて巧妙な点は、正当なペンテストやセキュリティ調査を実施していると、被害者に信じ込ませる一方で、彼らが発見した認証情報を、サイバー犯罪者に提供するという構造である。

Socket.dev のアナリストたちが特定したのは、正当に見えるセキュリティ・ツールに埋め込まれた悪意の動作である。このパッケージが、2022年6月24日以降において、アクティブになっていることも明らかにされている。

研究者たちの分析によると、この悪意のパッケージは、最初の SSH ログインに成功すると、対象 IP アドレス/ユーザー名/パスワードを抽出する。続いて、GitHub 上で “IllDieAnyway” として知られている、ロシア語圏の脅威アクターが管理するハードコードされた Telegram ボット・エンドポイントへと、それらの情報を自動送信する挙動を示しているという。

Telegram Bot and user info (Source – Socket.dev)

この攻撃ベクターは、OSS パッケージと開発者の間の信頼関係を悪用するものであり、バックドア機能を備えた攻撃的セキュリティ・ツールを配布する、脅威アクターの増加傾向を示している。

このパッケージをダウンロードして実行したユーザーは、本人の意図から離れたところで、大規模な認証情報収集オペレーションに加担することになる。つまり、試験的な侵入に成功したとしても、その成果は犯罪ネットワークへとリダイレクトされ、本来のセキュリティ評価目的とはかけ離れた結果を引き起こす。

技術的実装と回避メカニズム

このマルウェアの実装技術は、運用上のセキュリティを維持しながら、認証情報の不正収集を最大化する目的で設計され、また、洗練された回避の戦術を実証している。

このパッケージには、一般的なデフォルト認証情報である “root:toor”/”admin:password” や、 IoT 固有の “root:raspberry”/”root:dietpi” といった、意図的に最小限に絞り込まれた単語リストが搭載されている。それによりネットワーク・ノイズが低減し、スキャン処理が高速化されると同時に、攻撃者に対する否認の状態が確保される。

この悪意の機能のコアは、ハードコードされた Telegram API エンドポイント (https://api.telegram.org/bot5479006055:AAHaTwYmEhu4YlQQxriW00a6CIZhCfPQQcY/sendMessage) にある。

ブルートフォースにより認証バイパスに成功した後に、このパッケージは上記のエンドポイントに対して HTTP GET リクエストを実行し、Telegram ユーザー “@io_ping” に関連付けられたチャット ID 1159678884 へと、侵害した認証情報を “ip:username:password” の形式で送信する。

さらにこのマルウェアは、”HostKeyCallback: ssh.InsecureIgnoreHostKey()” を用いて SSH 接続を意図的にコンフィグし、多様なターゲットに対して迅速な認証情報テストを実行する仕組みを、サーバ検証を回避しながら確立していく。

Socket’s AI scanner detected a malicious package golang-random-ip-ssh-bruteforce (Source – Socket.dev)

Socket の AI スキャナーが発見したのは、このパッケージ内部に埋め込まれた単語リスト・ファイル (wl.txt) である。それにより、IoT デバイス/シングルボード・コンピュータ/急ごしらえの Linux システムが標的とされている。

開発者を狙うサプライチェーン攻撃の一例ですが、悪意のパッケージを利用する開発者に、ブルートフォース試験を実施させ、その成果を盗み出すという、きわめて巧妙かつ悪質な戦術を具現化しています。つまり、ツール自体が裏口として動作するよう設計され、それを開発者に使用させるという手口です。ご利用のチームは、ご注意ください。よろしければ、golang で検索も、ご参照ください。