Peneliti keamanan siber mengungkap sebuah modul Go berbahaya yang menyamar sebagai tool untuk melakukan brute-force SSH, namun diam-diam mencuri kredensial dan mengirimkannya ke pembuatnya melalui bot Telegram.
Menurut laporan Kirill Boychenko dari Socket, begitu login pertama berhasil, malware langsung mengirimkan IP target, username, dan password ke bot Telegram milik aktor ancaman.
Modul jahat bernama “golang-random-ip-ssh-bruteforce” ini sempat ditautkan ke akun GitHub IllDieAnyway (alias G3TT), yang kini sudah dihapus, meskipun modulnya masih tersedia di pkg.go[.]dev. Paket ini dipublikasikan sejak 24 Juni 2022.
Alih-alih membantu, modul ini memindai alamat IPv4 secara acak untuk menemukan layanan SSH terbuka di port 22, lalu mencoba login menggunakan daftar username-password bawaan. Begitu berhasil, hasil login tersebut diekspor ke bot Telegram @sshZXC_bot, yang terhubung ke akun hacker dengan handle @io_ping (Gett).
Daftar kata sandi yang digunakan cukup sederhana, hanya dua username utama: root dan admin, dipadukan dengan password lemah seperti 12345678, qwerty, password, letmein, hingga Passw@rd.
Lebih parahnya, malware ini sengaja menonaktifkan verifikasi host key dengan fungsi ssh.InsecureIgnoreHostKey, membuatnya menerima koneksi dari server mana pun tanpa peduli identitasnya.
Dari arsip Internet, terungkap bahwa akun GitHub IllDieAnyway/G3TT juga pernah membagikan:
- IP Port Scanner
- Instagram parser untuk profil dan media
- Botnet C2 berbasis PHP (Selica-C2)
Bahkan di kanal YouTube miliknya, masih ada video pendek tentang “cara meretas bot Telegram” hingga SMS bomber yang diklaim sebagai “terkuat di Rusia”. Semua ini memperkuat dugaan bahwa pelaku berasal dari Rusia.
Menurut Boychenko, malware ini mengalihkan beban scanning ke operator tak sadar, sehingga jejak serangan tersebar ke banyak alamat IP, sementara hasil sukses hanya dikumpulkan hacker. Dengan mengirim data lewat Telegram Bot API berbasis HTTPS, lalu lintasnya tampak seperti permintaan web biasa, sehingga mudah lolos dari kontrol keamanan yang lemah.