報導摘要

資安界近期發現一個極具欺騙性的惡意Go模組，名為 "golang-random-ip-ssh-bruteforce"。此模組由名為「IllDieAnyway」的駭客所創建，表面上是一套用來掃描隨機IP位址並進行SSH暴力破解的工具。然而，其真實目的卻是利用不知情的操作者，秘密掃描全球網路中的SSH服務，一旦成功登入，便會自動將竊取的伺服器IP位址、使用者名稱及密碼，透過一個硬編碼的Telegram機器人傳送給駭客。這項發現揭示了新興的惡意軟體傳播手法，不僅將風險轉嫁給使用者，也使得憑證竊取行為更加難以追蹤。

技術解析與運作機制

1. 偽裝與傳播：駭客將此模組包裝成一個功能強大的開源工具，透過GitHub等平台發布，吸引開發者或資安愛好者下載使用，藉此達成惡意軟體的廣泛散播。

2. 暴力破解：當模組被執行後，它會自動開始掃描隨機的IPv4位址，尋找開放的SSH服務。值得注意的是，它內建了一份包含常見弱密碼的使用者名稱及密碼清單，進行高效能的暴力破解。

3. 禁用安全驗證：為了提高攻擊效率，此模組被設計成會停用主機金鑰驗證，允許它在沒有安全防護的情況下接受來自任何伺服器的連線。

4. 竊取與回傳：一旦使用硬編碼的弱密碼成功登入任何一台SSH伺服器，模組會立即啟動資料外傳機制。它會秘密地將竊取到的IP、使用者名稱與密碼打包，並發送到一個由駭客控制的Telegram機器人帳號「@sshZXC_bot」。整個過程對使用者來說是完全隱形的，使用者只會看到工具正在正常運作，而不知道他們的電腦正在成為駭客的幫兇。

安全建議與防範措施

• 警惕來源不明的軟體：在下載和執行任何開源工具前，務必仔細審查其程式碼和開發者的可信度。

• 使用高強度密碼：這是防範暴力破解攻擊最基本也最有效的手段。確保所有帳號都使用複雜且獨特的密碼，並定期更換。

• 啟用多重身分驗證（MFA）：為您的SSH服務及其他重要帳號啟用MFA，即使密碼被竊取，沒有第二層驗證，駭客也無法成功登入。

• 定期審查網路流量：組織應監控內部網路流量，檢查是否有異常的外部連線，特別是與未知伺服器或Telegram等通訊軟體的連線，以便及早發現可疑行為。

這次的惡意Go模組事件，再次證明了社交工程與技術陷阱的結合，是現代網路威脅的一大特徵。