Un server proxy în cache deținut de Google s -a transformat într -un risc semnificativ de securitate
Imaginea de ansamblu: Limbajul de programare GO a fost conceput pentru a oferi o sintaxă asemănătoare cu C, prioritizând siguranța și securitatea memoriei. Cunoscut și sub numele de Golang, GO a crescut în popularitate atât în rândul dezvoltatorilor legitimi, cât și al ciberneticii resurse.
Go, unul dintre cele mai populare limbaje de programare alături de standarde „tradiționale” precum Python, C și Visual Basic, a fost exploatat pentru a transforma proiectele legitime open-source în software rău intenționat. Inima problemei se afla în serviciul proxy.golang.org deținut de Google, care acționează ca o oglindă pentru ca dezvoltatorii să preia și să instaleze rapid module GO fără a fi nevoie să acceseze depozitele originale GitHub.
Atacul lanțului de aprovizionare a fost descoperit recent de compania de securitate Socket Inc., care a jucat un rol cheie în reducerea pachetului rău intenționat. Oglinda modulului GO a găzduit o versiune modificată a unui pachet legitim GO numit BoltDB, care este utilizat de mii de alte pachete software. Această versiune rău intenționată a intrat pe Google Proxy Server în 2021 și a fost servită pentru a merge dezvoltatori cel puțin până luni trecută.
Serviciul proxy Google prioritizează memoria cache din motive de performanță, după cum a explicat Socket și păstrează un pachet în cache, chiar și după ce sursa inițială a fost modificată. Cybercriminale au folosit o tehnică de tiparting pentru a crea un nou depozit pe Github (Boltdb-Go/Bolt), cu o adresă URL care semăna cu unul original, curat (Boltdb/Bolt).
Modulul rău intenționat conținea o sarcină utilă din spate gestionată de actorii amenințării printr-un server de comandă și control extern. După ce modulul a fost preluat de Google GO Module Mirror, ciberneticii au modificat depozitul GitHub revenind pachetul la o versiune curată. Acest lucru a permis din spate să treacă neobservat în timp ce se ascunde în serverul proxy ani de zile.
Backdoor a fost proiectat pentru a crea o adresă IP și port ascunsă, care au fost utilizate pentru a verifica serverul C2 pentru alte comenzi și comenzi. IP -ul a aparținut companiei de găzduire Hetzner Online, un furnizor de infrastructură legitim și de încredere, care a oferit un strat suplimentar de „invizibilitate” malware.
Socket a explicat că, spre deosebire de alte operațiuni rău intenționate „nediscriminate”, această particularitate în spate a fost concepută pentru a maximiza probabilitatea de atacuri de succes și pentru a rămâne nedetectat cât mai mult timp. De asemenea, compania s -a confruntat cu rezistență de la Google în eforturile sale de a lua pachetul rău intenționat offline.
Întreprinderea de securitate a solicitat mai întâi managerilor proxy să elimine modulul din spate săptămâna trecută, dar problema a rămas nerezolvată. După o monitorizare săptămâna aceasta, Oglinda Google GO GO a abordat în sfârșit problema în urmă cu câteva zile.
