Los ciberdelincuentes están suplantando librerías legítimas de Go para secuestrar las pulsaciones del teclado en la terminal, modificar los firewalls y abrir puertas traseras permanentes en servidores Ubuntu.
El ecosistema del código abierto enfrenta una nueva e ingeniosa amenaza. Hoy 27 de febrero de 2026, el descubrimiento de un módulo malicioso en el lenguaje de programación Go diseñado específicamente para infiltrarse en servidores Linux, robar credenciales y establecer persistencia.
Investigadores de seguridad han desentrañado cómo los atacantes lograron colar esta amenaza disfrazándola de una de las herramientas más aburridas pero fundamentales para un desarrollador: una librería de criptografía.
El Arte del Engaño: “Confusión de Espacios de Nombres”
El ataque comienza con un engaño visual en los archivos de dependencias de los proyectos.
- El Impostor: El paquete malicioso se aloja bajo el nombre github[.]com/xinfeisoft/crypto.
- La Víctima: Suplantaba a la librería legítima y canónica golang.org/x/crypto (y a su espejo oficial github.com/golang/crypto).
- Se explicó que el actor de amenazas abusó de la forma en que los proyectos gestionan sus espejos de repositorios para hacer que el paquete malicioso pareciera completamente rutinario dentro de los gráficos de dependencias.
La Trampa en la Terminal
Una vez que un desarrollador integra sin saberlo este módulo en su aplicación, la trampa se activa en el momento más sensible. Los atacantes ocultaron el código malicioso dentro del archivo ssh/terminal/terminal.go. Cada vez que la aplicación legítima invoca la función ReadPassword() —el comando estándar utilizado para solicitar contraseñas interactivas en la terminal—, el malware captura en secreto esos caracteres y los envía inmediatamente a un servidor externo controlado por los hackers.
Invasión Total: De la Contraseña al Backdoor
El robo de credenciales es solo la fase uno. Como respuesta a la contraseña robada, el servidor externo envía un script de shell que funciona como un cargador (stager) para comprometer el sistema operativo. Este script ejecuta acciones devastadoras en entornos Linux:
- Persistencia Silenciosa: Añade la clave SSH del atacante directamente al archivo /home/ubuntu/.ssh/authorized_keys de la víctima, garantizando acceso remoto sin contraseña en el futuro.
- Sabotaje del Firewall: Modifica las políticas predeterminadas de iptables a ACCEPT, aflojando las restricciones de red del servidor.
- Descarga del Payload Final: Finalmente, recupera cargas útiles adicionales camufladas con una inofensiva extensión .mp5.
Uno de estos archivos .mp5 resultó ser Rekoobe, un infame troyano para Linux que ha estado activo desde al menos 2015. Esta herramienta permite a los atacantes robar archivos, ejecutar un shell inverso y recibir nuevos comandos. Curiosamente, Rekoobe ha sido una herramienta favorita reciente de grupos de espionaje respaldados por el estado chino, como APT31.
Consecuencias y Prevención
El equipo de seguridad de Go ya ha bloqueado el paquete malicioso. Sin embargo, los expertos advierten que este es solo el comienzo. El patrón de ataque es de “bajo esfuerzo y alto impacto”, por lo que es casi seguro que los desarrolladores verán futuros ataques a la cadena de suministro dirigidos a otras librerías críticas que manejan credenciales (como conectores de bases de datos o asistentes SSH).
