За словами старшого аналітика платформи Socket, бекдор, який імітує широко використовуваний модуль бази даних популярною мовою програмування Go, може дати хакерам контроль над зараженими системами. Про це повідомляє DevOps.com.
Шкідливий пакет, який зловмисник вперше опублікував у листопаді 2021 року та залишається в Go Module Proxy, описує законний модуль бази даних BoltDB, який використовується широким колом організацій, включаючи компанію електронної комерції Shopify і Heroku, організацію хмарної платформи як послуги (PaaS).
Атака ілюструє, як хакер може використовувати функції Go Module Mirror, зокрема безстрокове кешування модулів. У цьому випадку, коли зловмисник опублікував початкову шкідливу версію v1.3.1 на GitHub, вона була кешована службою Go Module Mirror на невизначений термін.
Хоча публічно не повідомляли про попередні випадки, цей інцидент підкреслює критичну потребу підвищити обізнаність про подібні тактики наполегливості в майбутньому.
Оскільки незмінні модулі пропонують як переваги безпеки, так і потенційні вектори зловживань, розробники та групи безпеки повинні стежити за атаками, які використовують кешовані версії модулів, щоб уникнути виявлення.
Бекдор є ще одним свідченням того, що кіберзлочинці постійно зосереджуються на використанні ланцюга постачання програмного забезпечення для запуску своїх кампаній, включаючи розміщення шкідливих пакетів у сховищах коду, таких як GitHub, npm і Python Package Index (PyPI), і підкреслює постійну популярність мови Go.
Developer Nation, спільнота розробників, заявила у звіті у вересні 2024 року, що 11,5% опитаних бекенд-розробників сказали, що вони використовують Go, мову, створену Google. Рівень упровадження залишався стабільним протягом останніх років. JavaScript, Java (39%) і Python все ще ширше використовуються, але розмір спільноти Go збільшився разом із популяцією бекенд-розробників.
В екосистемі Go пакет BoltDB широко використовується. Від нього залежить 8367 пакетів, і його широке використання в тисячах проєктів позиціонує BoltDB серед найбільш відомих і надійних модулів у спільноті Go.
Socket подала петицію про видалення шкідливого пакета з модуля Mirror і повідомила про пов’язане сховище й обліковий запис GitHub, які використовувалися для розповсюдження пакета.
Шкідливий пакет називається github.com/boltdb-go/bolt, що дуже нагадує законний домен BoldDB, github.com/boltdb/bolt, призначений для того, щоб обманом змусити розробників відвідати сайт хакерів.
Бекдор забезпечує дистанційне виконання коду, дозволяючи загрозливому суб’єкту контролювати заражені системи через сервер керування (C2). Після того, як зловмисне програмне забезпечення було кешовано Go Module Mirror, із якого завантажується ланцюжок інструментів Go CLI, тег git було стратегічно змінено на GitHub, щоб видалити сліди зловмисного програмного забезпечення, приховавши його від перевірки коду вручну.
Читайте також на ProIT: Час перевірити, чи встановлені у вас 33 шкідливі розширення для Chrome.
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодної публікації!
