I ricercatori della sicurezza informatica hanno richiamato l’attenzione su un attacco di approvvigionamento di software program che mira all’ecosistema GO che coinvolge un pacchetto dannoso in grado di concedere l’accesso remoto avversario ai sistemi infetti.
Il pacchetto, chiamato github.com/boltdb-go/boltè un tipo di tipo di modulo di database Boltdb legittimo (github.com/boltdb/bolt), per presa. La versione dannosa (1.3.1) è stata pubblicata su GitHub nel novembre 2021, a seguito della quale è stata memorizzata nella cache indefinitamente dal Go Module Specchio servizio.
“Una volta installato, il pacchetto backdoored garantisce l’attore remoto dell’attore minaccia al sistema infetto, consentendo loro di eseguire comandi arbitrari”, il ricercatore della sicurezza Kirill Boychenko disse in un’analisi.
Socket ha detto che lo sviluppo segna uno dei primi casi di un attore dannoso che abusa della cache di moduli indefiniti di Go Module Mirror per indurre gli utenti a scaricare il pacchetto. Successivamente, si cube che l’attaccante abbia modificato i tag GIT nel repository di origine per reindirizzarli alla versione benigna.
Questo approccio ingannevole ha assicurato che un audit manuale del repository GitHub non ha rivelato alcun contenuto dannoso, mentre il meccanismo di memorizzazione nella cache ha comportato che gli sviluppatori ignari che installavano il pacchetto utilizzano la CLI Go hanno continuato a scaricare la variante backdoored.
“Una volta che una versione del modulo è memorizzata nella cache, rimane accessibile attraverso il proxy del modulo GO, anche se la fonte originale viene successivamente modificata”, ha detto Boychenko. “Mentre questo design beneficia di casi d’uso legittimi, l’attore delle minacce lo ha sfruttato per distribuire costantemente il codice dannoso nonostante le successive modifiche al repository.”
“Con moduli immutabili che offrono sia benefici per la sicurezza che potenziali vettori di abuso, gli sviluppatori e i crew di sicurezza dovrebbero monitorare gli attacchi che sfruttano le versioni del modulo memorizzate nella cache per eludere il rilevamento.”
Lo sviluppo arriva come cycode dettagliato Tre pacchetti NPM dannosi-servizio-servizio-servizio, node OpenSSL e successivo-refresh-token-che ospitavano codice offuscato per raccogliere metadati del sistema ed eseguire comandi arbitrari emessi da un server remoto (“8.152.163 (.) 60”) sull’ospite infetto.
