Investigadores en ciberseguridad han identificado 11 paquetes maliciosos escritos en Go diseñados para descargar y ejecutar cargas útiles adicionales desde servidores remotos, afectando tanto a sistemas Windows como Linux.
“En tiempo de ejecución, el código lanza silenciosamente una terminal, descarga una segunda carga útil desde endpoints de comando y control (C2) con dominios
.icu
y.tech
, y la ejecuta directamente en memoria”, explicó Olivia Brown, investigadora de seguridad en Socket.
Lista de paquetes maliciosos detectados:
github.com/stripedconsu/linker
github.com/agitatedleopa/stm
github.com/expertsandba/opt
github.com/wetteepee/hcloud-ip-floater
github.com/weightycine/replika
github.com/ordinarymea/tnsr_ids
github.com/ordinarymea/TNSR_IDS
github.com/cavernouskina/mcp-go
github.com/lastnymph/gouid
github.com/sinfulsky/gouid
github.com/briefinitia/gouid
Estos paquetes contienen un cargador ofuscado capaz de obtener binarios ELF y PE (portable executable), que pueden recopilar información del sistema, acceder a datos de navegadores y comunicarse con servidores de C2.
“Debido a que la segunda carga útil entrega un script Bash en Linux y usa
certutil.exe
para obtener ejecutables en Windows, tanto los servidores de compilación en Linux como las estaciones de trabajo en Windows están en riesgo”, añadió Brown.
Un factor que agrava esta amenaza es la estructura descentralizada del ecosistema de Go, que permite importar módulos directamente desde GitHub. Esto genera confusión entre los desarrolladores, ya que al buscar un paquete en pkg.go.dev
pueden encontrarse múltiples módulos con nombres similares, aunque no todos sean maliciosos.
“Los atacantes aprovechan esta confusión, creando cuidadosamente espacios de nombres maliciosos que parecen legítimos a simple vista, lo que aumenta la probabilidad de que los desarrolladores integren código destructivo sin saberlo”, advirtió Socket.
Todo apunta a que estos paquetes fueron creados por un mismo actor de amenazas, debido a la reutilización de infraestructura C2 y patrones comunes en el código. Este caso subraya los riesgos crecientes en la cadena de suministro, especialmente en proyectos multiplataforma como los basados en Go.
npm también afectado: paquetes pueden borrar sistemas usando número telefónico
En paralelo, se han descubierto dos paquetes npm maliciosos: naya-flore
y nvlore-hsc
, que se hacen pasar por bibliotecas para sockets de WhatsApp. Estos paquetes integran un mecanismo de seguridad basado en números de teléfono que puede borrar archivos del sistema de forma remota.
Ambos fueron publicados por el usuario “nayflore” a inicios de julio de 2025 y han sido descargados más de 1,100 veces hasta el momento.
Estos paquetes consultan una base de datos remota con números telefónicos indonesios. Si el número del dispositivo que ejecuta el paquete no está en esa base de datos, se inicia un proceso de borrado total del sistema usando el comando:
rm -rf *
Esto ocurre tras intentar emparejarse con WhatsApp.
Además, se detectó una función que permite exfiltrar información del dispositivo hacia un servidor externo, aunque actualmente está comentada en el código, lo que indica que el desarrollo del malware podría estar en curso.
“naya-flore incluso contiene un token de acceso personal a GitHub incrustado en el código, lo que permite acceso no autorizado a repositorios privados”, informó el investigador Kush Pandya.
El propósito de este token aún no es claro, pero sugiere funciones no implementadas o pruebas en otras partes del código no incluidas en estos paquetes.
Conclusión
Los repositorios de código abierto siguen siendo un canal atractivo para la distribución de malware, especialmente dentro de las cadenas de suministro de software. En algunos casos, estos paquetes también están diseñados para robar información confidencial e incluso atacar billeteras de criptomonedas.
“Aunque las tácticas no han cambiado drásticamente, los atacantes siguen usando técnicas probadas como reducir el número de archivos, scripts de instalación y métodos discretos de exfiltración de datos”, señala Fortinet FortiGuard Labs.
El aumento en las técnicas de ofuscación refuerza la necesidad de vigilancia constante por parte de desarrolladores y empresas. A medida que crece el uso de software de código abierto (OSS), también lo hace la superficie de ataque para amenazas en la cadena de suministro.
Fuente: https://thehackernews.com/2025/08/malicious-go-npm-packages-deliver-cross.html