偽Goモジュールがパスワード窃取｜開発者を狙う供給チェーン攻撃golang.org/x/crypto偽装でRekoobe展開、APT31関与か

正規ライブラリを偽装した悪意あるGoモジュールが発見

Go言語の正規暗号化ライブラリ「golang.org/x/crypto」を偽装した悪意あるモジュールが発見されました。このモジュールはパスワード入力関数にバックドアを仕込み、認証情報の窃取からLinuxバックドアの展開まで行います。Go言語で開発を行う企業にとって、依存関係の監査が急務となっています。

The Hacker Newsの報道によると、セキュリティ企業Socketが2月27日、「github[.]com/xinfeisoft/crypto」という悪意あるGoモジュールを発見しました。このモジュールは正規ライブラリのサブパッケージ構造（bcrypt、argon2、sshなど）を完全にコピーしており、pkg.go.devでは通常のライブラリとして表示されていました。現在はGo公式セキュリティチームによりブロックされています。

攻撃の手口と技術的詳細

この攻撃が巧妙なのは、開発者が日常的に使用する「パスワード入力関数」を狙った点にあります。ReadPassword関数にバックドアを仕込むことで、ターミナルで入力されたパスワードを攻撃者のサーバーへ送信する仕組みです。

攻撃は段階的に進行します。まずパスワードを窃取した後、GitHub Rawを経由してステージングURLを取得します。続いてcurl | shコマンドでLinuxステージャーを実行し、SSH鍵をauthorized_keysに追加して永続的なアクセス経路を確保します。さらにiptablesルールを緩和してファイアウォールを回避し、最終的にRekoobe Linuxバックドアを展開します。

Rekoobeは中国の国家支援グループ「APT31（Zirconium）」との関連が指摘されている既知のトロイの木馬です。今回の攻撃が単なる金銭目的ではなく、国家レベルのサイバー諜報活動の一環である可能性も否定できません。

なぜ今、この攻撃が危険なのか

npm（JavaScript）やPyPI（Python）に続き、Go言語のエコシステムも供給チェーン攻撃の標的となりました。特に「認証系ライブラリ」を狙う手法は再現性が高く、SSHヘルパー、CLIプロンプト、データベースコネクターなど、パスワードを扱うあらゆるライブラリに応用可能です。

2月下旬には偽Next.jsリポジトリの発見やClaude Code脆弱性の報告など、開発者ツール全般への攻撃が集中しています。開発環境そのものが攻撃対象となる時代において、依存関係の管理は経営課題として捉える必要があります。

自社開発チームが今すぐ実施すべき対策

まず既存プロジェクトのgo.modとgo.sumを監査し、不明なモジュールルートがないか確認してください。特に「github.com」以外のドメインや、見慣れないアカウント名のモジュールには注意が必要です。

次にGo依存関係のセキュリティレビューを自動化することをお勧めします。govulncheckやSocketなどのツールをCI/CDパイプラインに組み込むことで、脆弱な依存関係を早期に検出できます。

また、依存関係の変更があった際にアラートを発する仕組みも重要です。go.modやgo.sumへの変更をプルリクエスト時に自動検知し、レビュー必須とするルールを設けましょう。

サーバー側では、SSH authorized_keysファイルへの変更を監視する仕組みを導入してください。不正な公開鍵の追加を検知することで、攻撃の初期段階で対処できます。

最後に、開発チーム全体でサプライチェーン攻撃の手口と対策について情報共有を行ってください。技術的な対策だけでなく、開発者一人ひとりのセキュリティ意識を高めることが、組織全体の防御力向上につながります。

まとめ

Go言語の正規ライブラリを偽装した悪意あるモジュールが発見され、パスワード窃取からLinuxバックドア展開まで行う攻撃が確認されました。開発者ツールを狙う供給チェーン攻撃は今後も増加が予想されるため、依存関係の監査と自動化されたセキュリティレビューの導入が急務です。

自社の開発環境やセキュリティ体制に不安がある場合は、180社以上の支援実績を持つGXOにご相談ください。依存関係監視の自動化からインシデント対応まで、一気通貫でサポートいたします。

お問い合わせはこちら