Paquetes maliciosos en Go y npm instalan el backdoor Rekoobe y pueden borrar sistemas completos

Investigadores de Socket han identificado 11 módulos de Go y al menos dos bibliotecas npm que ocultan un loader capaz de descargar «Rekoobe» —un backdoor ELF/PE de segunda fase— y, en ciertas variantes, ejecutar un wipe remoto con rm -rf *. Entre los nombres detectados figuran github.com/stripedconsu/linker, expertsandba/opt, ordinarymea/TNSR_IDS o cavernouskina/mcp-go, así como los paquetes naya-flore y nvlore-hsc en npm.v

Cómo funciona la cadena de infección

• Typosquatting en Go: los atacantes crean repositorios con nombres verosímiles; al compilar, el código abre un shell, extrae el nombre de la región IPC (CVE-2025-23320) y descarga la carga ELF/PE desde dominios .icu y .tech.
• Carga cruzada (Windows / Linux): en Linux se ejecuta un bash script; en Windows se usa certutil.exe para traer el binario.
• npm con kill switch: los paquetes se hacen pasar por librerías de WhatsApp y consultan una base de teléfonos indonesia; si el número no está en la lista, disparan un borrado recursivo de archivos.

Impacto potencial

1. Toma de control remota de estaciones de desarrollo y servidores CI/CD en Windows y Linux.
2. Robo de credenciales y secretos: el backdoor recopila información del sistema y del navegador.
3. Borrado de código fuente y artefactos en entornos locales cuando se activa el wipe.
4. Ataques en cadena de suministro: los módulos de Go se resuelven directamente desde GitHub, lo que facilita su propagación inadvertida.

Recomendaciones

• Revisar dependencias: emplear herramientas como go audit, go.sum y npm audit junto con escáneres de supply-chain (Socket, Snyk, osv-scanner).
• Fijar versiones y hashes (go mod vendor, npm shrinkwrap) para evitar descargas de nombres ambiguos.
• Sandboxing de builds: compilar en contenedores sin acceso privilegiado y con salida a Internet restringida.
• Monitorizar tráfico saliente (dominios .icu, .tech) y alertas de creación de shells en sistemas de CI.
• Proceso de deprecation rápido: reportar y eliminar paquetes sospechosos de los registros oficiales antes de que alcancen descargas críticas.

Más información

• The Hacker News – Malicious Go, npm Packages Deliver Cross-Platform Malware, Trigger Remote Data Wipes
• BleepingComputer – Malicious npm packages delete project directories
• GBHackers – Malicious npm utility packages enable attackers to wipe production systems

Acerca de Hispasec

Hispasec Ha escrito 7093 publicaciones.

• View all posts by Hispasec →
• Blog