Pesquisadores de cibersegurança identificaram uma nova campanha maliciosa voltada para desenvolvedores Go, utilizando pacotes falsos para infectar sistemas Linux e macOS com malware. A campanha se aproveita de uma técnica conhecida como typosquatting, onde os criminosos publicam bibliotecas com nomes muito semelhantes a pacotes legítimos, enganando desenvolvedores desatentos para que façam a instalação involuntária. De acordo com um relatório da empresa de segurança Socket, pelo menos sete pacotes maliciosos foram identificados, todos disfarçados como bibliotecas populares do ecossistema Go.

Um dos pacotes, chamado “github.com/shallowmulti/hypert”, parece ter como alvo específico desenvolvedores do setor financeiro. Segundo o pesquisador Kirill Boychenko, todos os pacotes compartilham padrões de codificação maliciosa e técnicas consistentes de ofuscação, indicando que o ataque é coordenado por um mesmo grupo capaz de se adaptar rapidamente. O objetivo final da campanha é instalar e executar um arquivo binário nos sistemas comprometidos, o qual pode ser usado para roubo de dados e credenciais.

Essa descoberta ocorre pouco depois da identificação de outro ataque semelhante em janeiro de 2025, onde um pacote Go malicioso também visava obter acesso remoto a sistemas infectados. A repetição de técnicas como nomes de arquivos idênticos, uso de arrays para ofuscar strings e a execução atrasada indicam que os responsáveis pela campanha possuem uma infraestrutura robusta e adaptável. Essa infraestrutura conta com múltiplos domínios e repositórios de backup, permitindo que os atacantes continuem suas operações mesmo que alguns elementos sejam derrubados ou bloqueados.