
Peneliti cybersecurity telah meminta perhatian pada serangan rantai pasokan perangkat lunak yang menargetkan ekosistem GO yang melibatkan paket berbahaya yang mampu memberikan akses jarak jauh musuh ke sistem yang terinfeksi.
Paket, bernama github.com/boltdb-go/bolt, adalah kesalahan ketik dari modul basis data BoltDB yang sah (github.com/boltdb/bolt), per soket. Versi jahat (1.3.1) diterbitkan ke GitHub pada November 2021, yang diikuti di -cache tanpa batas oleh Layanan Cermin Modul GO.
“Setelah terpasang, paket backdoored memberikan akses jarak jauh aktor ancaman ke sistem yang terinfeksi, yang memungkinkan mereka untuk menjalankan perintah yang sewenang -wenang,” kata peneliti keamanan Kirill Boychenko dalam sebuah analisis.
Socket mengatakan pengembangan itu menandai salah satu contoh paling awal dari aktor jahat yang menyalahgunakan caching modul modul GO modul yang tidak terbatas untuk menipu pengguna agar mengunduh paket. Selanjutnya, penyerang dikatakan telah memodifikasi tag GIT di repositori sumber untuk mengarahkan mereka ke versi jinak.

Pendekatan menipu ini memastikan bahwa audit manual dari repositori GitHub tidak mengungkapkan konten jahat, sedangkan mekanisme caching berarti bahwa pengembang yang tidak curiga memasang paket menggunakan GO CLI terus mengunduh varian backdoored.
“Setelah versi modul di -cache, tetap dapat diakses melalui proxy modul GO, bahkan jika sumber aslinya kemudian dimodifikasi,” kata Boychenko. “Sementara desain ini menguntungkan kasus penggunaan yang sah, aktor ancaman mengeksploitasinya untuk secara terus -menerus mendistribusikan kode berbahaya meskipun ada perubahan selanjutnya pada repositori.”

“Dengan modul yang tidak berubah yang menawarkan manfaat keamanan dan vektor penyalahgunaan potensial, pengembang dan tim keamanan harus memantau serangan yang memanfaatkan versi modul yang di -cache untuk menghindari deteksi.”
Pengembangan ini datang sebagai siklus Cycode merinci tiga paket NPM berbahaya-sajian-statis-corell, openssl-node, dan selanjutnya yang di-refresh-yang menyimpan kode obfuscated untuk mengumpulkan metadata sistem dan menjalankan perintah sewenang-wenang yang dikeluarkan oleh server jarak jauh (“8.152.163[.]60 “) pada host yang terinfeksi.