在网络安全的领域中，新的威胁层出不穷。最近，一款恶意的 Go 模块以 SSH 暴力攻击工具的名义出现，并秘密窃取其找到的凭证，通过 Telegram 进行传输。这一安全事件引发了业内的广泛关注和警惕，尤其是在企业和开发者在使用开源模块时，存在的潜在风险。

这款名为 “golang-random-ip-ssh-bruteforce” 的恶意模块由一个名为 IllDieAnyway 的网络攻击者开发，在 GitHub 和 Go 模块生态系统中活跃。尽管该模块声称能够针对 SSH 执行随机攻击，但其背后的真实意图是窃取用户的 SSH 凭证，并将其发送到开发者所控制的 Telegram 机器人。这一策略利用了 Telegram API 使用 HTTPS 的特性，能够欺骗许多安全系统认为该流量是普通的网络请求，进而实现其恶意行为。

根据安全公司 Socket 的研究，该恶意代码是通过不断生成随机的 IPv4 地址并扫描 TCP 22 端口，以寻找处于未受保护状态的 SSH 服务。一旦发现目标，它将使用跳过服务器身份检查的配置企图进行暴力破解，最后在首次成功登录后，将目标计算机的 IP 地址和凭证发送到一个事先植入的 Telegram 机器人中，再对用户报告成功。这一设计不仅体现了攻击者的狡猾，还展示了其隐藏性的威胁等级。

在自动化对目标进行攻击的过程中，Socket 也披露了该恶意模块的部分代码，揭示了其工作原理。攻击行为是通过构造 TCP 连接，检测目标是否开放，并在可用时发起暴力破解。在这种情况下，恶意模块并不会持续运行，而是在成功交付数据后终止，以降低被检测的风险。这种行为使得其在攻击圈内显得十分隐蔽。

值得注意的是，该恶意 Go 模块的用户名-密码组合相对简单，结合了普遍使用的用户名（如 root 和 admin）以及弱密码（如 toor、raspberry、password 等），专门针对那些安全意识较弱的用户进行攻击。这一问题不仅关乎定义用户身份的密码强度，还反映出网络环境中在安全配置和实用性之间的冲突。尽管它没有通过网络更新或接收数据，但攻击者凭借这一简单的静态字符串仍然能够有效发起攻击。

对此，Socket 对使用模块的开发者发出警告，指出供应链攻击的潜在风险。其指出，用户在引用任何模块时都应仔细检查其安全性，特别是那些可能硬编码了远程终端的模块，这一情况在许多 Telegram 像这样的消息服务中尤为常见。

该事件不仅揭示了 开源项目 的潜在威胁，也反映了现代网络安全面临的挑战。当前，黑客利用开放源代码的灵活性，以其为基础开发恶意代码的现象并不少见，对于开发者而言，维持对第三方库安全性进行评估至关重要。在此背景下，使用良好安全生态的工具、工具包及社区感知显得尤为重要。

随着网络犯罪的技术日新月异，企业与开发者必须认清现代网络环境中 安全风险 的多样性，采取切实可行的措施来加强自身的防护措施。只有加强用户的安全意识，采用更加严格的安全策略，才能应对持续升级的网络攻击。此外，不断更新自身的检测和防护机制，留意可能出现的新威胁，将有助于提升整体的网络安全水平。

传播安全知识、拓宽行业人脉——看雪讲师团队等你加入！