Ein vermeintlich harmloses Brute-Force-Tool für SSH-Verbindungen entpuppt sich als Hintertür für Cyberkriminelle: Ein gefälschtes Modul in der Programmiersprache Go überträgt Zugriffsdaten heimlich über Telegram. Die Attacke zeigt, wie gefährlich Supply-Chain-Angriffe selbst in Open-Source-Ökosystemen sein können.
Ein trojanisches Pferd im Go-Ökosystem
Im Mai 2024 entdeckten Sicherheitsforscher ein manipuliertes Go-Modul mit der Bezeichnung ‘ssh-bruteforce’, das vorgab, ein legitimes Brute-Force-Tool zur Prüfung von SSH-Zugangsdaten zu sein. Tatsächlich versteckte sich dahinter ein Trojaner, der erfolgreich kompromittierte SSH-Zugangsdaten über den Messenger-Dienst Telegram an einen Angreifer übermittelte. Dieses Tool, das über das öffentliche Go-Paket-Repository pkg.go.dev verfügbar war, nutzte die wachsende Popularität von Go in DevOps und Infrastruktur-Automatisierung aus.
Die Entdeckung wurde zuerst durch die Sicherheitsplattform ReversingLabs bekannt gemacht. Ihre Analyse bestätigte, dass das Modul unter der harmlosen Fassade versteckten Malcode enthielt, der kompromittierte Zugangsdaten automatisch per HTTP API an einen Telegram-Bot schickte. Hierbei wurden systematisch Hostnamen, Benutzernamen und Passwörter abgefangen und unverdeckt weitergeleitet.
Angriffsmechanismus und technische Details
Der Trojaner war ausgeklügelt: Sobald das Tool ausgeführt wurde, startete es scheinbar wie gewohnt eine Reihe von Brute-Force-Angriffen auf definierte IP-Adressen und Hosts. Gleichzeitig sammelte es jedoch die Login-Versuche – erfolgreich wie auch erfolglos – und extrahierte daraus gültige Zugangsdaten. Mit Hilfe der net/http-Bibliothek kodierte es die Daten im JSON-Format und sendete diese an eine vordefinierte Telegram-API-URL.
Telegram wird in der Malware-Szene immer häufiger als exfiltrierender Kommunikationskanal verwendet. Laut einer Analyse von Check Point Research aus dem Jahr 2023 nutzten über 13 % der damals identifizierten Malware-Kampagnen Telegram-Bots als C2 (Command and Control)-Infrastruktur (Quelle: Check Point, 2023). Die Plattform ist beliebt wegen ihrer API-Offenheit, Verschlüsselung und der breiten Gerätekompatibilität.
Risiken für Unternehmen: SSH bleibt Achillesferse
SSH (Secure Shell) ist das Rückgrat vieler Automatisierungs- und Verwaltungsprozesse in Unternehmen. Es wird insbesondere für den sicheren Fernzugriff auf Linux-Server und Containerlandschaften eingesetzt. Die Sicherheit dieser Zugänge ist daher von kritischer Bedeutung – ein Leck kann weitreichende Schäden verursachen, vom Datenabfluss bis zur vollständigen Systemübernahme durch Angreifer.
Das infizierte Go-Modul illustriert dabei ein wachsendes Supply-Chain-Problem. Angreifer setzen vermehrt auf manipulierte Pakete und Bibliotheken in Software-Repositories, um Systeme zu infizieren, die durch klassische Schutzmechanismen wie Firewalls oder Virenscanner nicht erreicht werden können. Laut dem Open Source Security and Risk Analysis (OSSRA) Report 2024 enthielten 74 % der geprüften Open-Source-Komponenten mindestens eine bekannte Sicherheitslücke (Quelle: Synopsys OSSRA 2024).
Unternehmen, die Go in ihren DevOps-Prozessen einsetzen, laufen somit Gefahr, manipulierte Pakete wie ‘ssh-bruteforce’ zu integrieren, ohne diese ausreichend zu prüfen. Ist das System erst kompromittiert, kann ein Angreifer durch bekannt gewordene SSH-Zugangsdaten lateral im Unternehmensnetzwerk agieren.
Telegram als Exfiltrationskanal: Warum es so beliebt ist
Der Missbrauch von Telegram für C2-Zwecke ist kein Einzelfall. Die Plattform bietet Cyberkriminellen vor allem drei Vorteile: Anonymität, eine programmierbare Bot-Schnittstelle und eine starke mobile Infrastruktur. Durch Verwendung sogenannter Telegram Bots können Malware-Autoren in Echtzeit Zugangsdaten, Screenshots, Systeminformationen und andere sensible Daten übermitteln.
Telegram wird dabei bewusst als Alternative zu gängigen C2-Kanälen wie DNS-Tunneling oder kompromittierten Webservern eingesetzt, da es die Detektion durch gängige Security-Lösungen erschwert. Viele Unternehmen blockieren Telegram nicht auf Netzwerkebene, was seinen Missbrauch weiter erleichtert.
Wie Unternehmen sich schützen können
Der Fall des SSH-Trojaners zeigt einmal mehr, wie wichtig eine mehrschichtige Sicherheitsstrategie ist. Besonders im Umgang mit Open-Source-Software und externen Bibliotheken sollten Unternehmen proaktiv agieren. Folgende Maßnahmen können helfen, die Gefahr erheblich zu minimieren:
- Software-Supply-Chain überwachen: Setzen Sie Werkzeuge wie Dependency Track oder Snyk ein, um Third-Party-Komponenten kontinuierlich auf Schwachstellen zu prüfen.
- Telegram-Kommunikation blockieren: Falls Ihr Unternehmen Telegram nicht offiziell nutzt, sollte der HTTP/S-Zugang zur Telegram API aktiv blockiert werden.
- SSH-Zugänge mit MFA absichern: Verwenden Sie Zwei-Faktor-Authentifizierung auch für interne Remote-Zugänge – dies erschwert brute-force- und Credential-Stuffing-Angriffe erheblich.
Einordnung und Sicherheitsbewusstsein im Entwickleralltag
Ein zentrales Element im Schutz vor solchen Angriffen bleibt das Sicherheitsbewusstsein der Entwicklerinnen und Entwickler. Die Verwendung von Open-Source-Modulen sollte immer mit Sorgfalt erfolgen. Tools und Bibliotheken aus inoffiziellen oder nicht vertrauenswürdigen Quellen sollten grundsätzlich gemieden oder isoliert getestet werden.
Ebenso hilft es, Hashes und Signaturen von Codekomponenten zu prüfen, wie es etwa durch die Unterstützung für Go Modules proxy verification in der Go-Toolchain angeboten wird. Best Practices wie ‘minimal permissions’ und eine Prinzipien-orientierte Codekontrolle sollten fest in den DevOps-Prozess integriert werden.
Fazit: Wachsamkeit gegenüber scheinbar legitimen Tools ist entscheidend
Der SSH-Trojaner im Go-Modul ist ein warnendes Beispiel für moderne, gezielte Angriffsvektoren in der Software-Lieferkette. Was auf den ersten Blick als praktisches Werkzeug erscheint, kann sich schnell als Einfallstor für hochkritische Angriffe entpuppen. Dabei werden zunehmend legitime Plattformen wie Telegram für die stille Exfiltration sensibler Daten zweckentfremdet.
Unternehmen müssen der Sicherheitsanalyse von Codekomponenten höchste Priorität einräumen – auch (und gerade) dann, wenn Software aus scheinbar vertrauenswürdigen Repositories stammt. Zusätzlich sind Schulungen und Awareness-Kampagnen im Entwicklerteam ein unverzichtbarer Bestandteil jeder Security-Strategie.
Welche Maßnahmen setzen Sie bereits zur Kontrolle Ihrer Software-Lieferkette ein? Teilen Sie Ihre Erfahrungen, Herausforderungen und Lösungen mit unserer Community und helfen Sie, IT-Sicherheit gemeinsam weiterzudenken.
