Siber güvenlik araştırmacıları, enfekte olmuş sistemlere düşman uzaktan erişimini sağlayabilen kötü niyetli bir paket içeren Go ekosistemini hedefleyen bir yazılım tedarik zinciri saldırısına dikkat çektiler.
Paket, adlandırılmış github.com/boltdb-go/boltmeşru Boltdb veritabanı modülünün bir yazım hatasıdır (github.com/boltdb/bolt), soket başına. Kötü niyetli sürüm (1.3.1), Kasım 2021’de Github’a yayınlandı ve ardından süresiz olarak önbelleğe alındı. Modül Aynası Git hizmet.
Güvenlik Araştırmacısı Kirill Boychenko, “Backdoed Paket, Tehdit Oyuncusu Enfekte Sisteme Uzaktan Erişim Vererek Rasgele Komutlar yürütmelerine izin veriyor.” söz konusu bir analizde.
Socket, geliştirmenin, kullanıcıları paketi indirmek için kandırmak için Modror’un modüllerinin belirsiz önbelleğini kötüye kullanan kötü niyetli bir aktörün en eski örneklerinden birini işaretlediğini söyledi. Daha sonra, saldırganın kaynak deposundaki Git etiketlerini iyi huylu versiyona yönlendirmek için değiştirdiği söylenir.
Bu aldatıcı yaklaşım, GitHub deposunun manuel denetiminin herhangi bir kötü amaçlı içerik ortaya koymamasını sağlarken, önbellekleme mekanizması, Paketi yükleyen şüphesiz geliştiricilerin GO CLI’yi kullanarak backdoured varyantını indirmeye devam ettikleri anlamına geliyordu.
Boychenko, “Bir modül versiyonu önbelleğe alındığında, orijinal kaynak daha sonra değiştirilmiş olsa bile, Go modülü proxy’den erişilebilir olmaya devam ediyor.” Dedi. Diyerek şöyle devam etti: “Bu tasarım meşru kullanım durumlarına fayda sağlasa da, tehdit oyuncusu depoya sonraki değişikliklere rağmen kötü niyetli kodları sürekli olarak dağıtmak için kullandı.”
“Hem güvenlik avantajları hem de potansiyel istismar vektörleri sunan değişmez modüllerle, geliştiriciler ve güvenlik ekipleri, algılamadan kaçınmak için önbelleğe alınmış modül sürümlerinden yararlanan saldırıları izlemelidir.”
Geliştirme sibod olarak gelir ayrıntılı Sistem meta verilerini toplamak ve uzak bir sunucu tarafından verilen keyfi komutları çalıştırmak için gizlenmiş kodu barındıran üç kötü amaçlı NPM paketi-servis statik-korell, openssl düğümü ve bir sonraki refresh-token-(“8.152.163[.]60 “) enfekte konakta.
