Siber güvenlik araştırmacıları, enfekte olmuş sistemlere düşman uzaktan erişimini sağlayabilen kötü niyetli bir paket içeren Go ekosistemini hedefleyen bir yazılım tedarik zinciri saldırısına dikkat çektiler.
Github.com/boltdb-go/bolt adlı paket, soket başına meşru Boltdb veritabanı modülünün (github.com/boltdb/bolt) bir yazım hatasıdır. Kötü niyetli sürüm (1.3.1), Kasım 2021’de GitHub’a yayınlandı ve ardından Go Modülü Ayna Hizmeti tarafından süresiz olarak önbelleğe alındı.
Güvenlik araştırmacısı Kirill Boychenko bir analizde, “Kurulduktan sonra, backdoured paket, tehdit oyuncusu enfekte sisteme uzaktan erişim sağlayarak keyfi komutlar yürütmelerine izin veriyor.” Dedi.
Socket, geliştirmenin, kullanıcıları paketi indirmek için kandırmak için Modror’un modüllerinin belirsiz önbelleğini kötüye kullanan kötü niyetli bir aktörün en eski örneklerinden birini işaretlediğini söyledi. Daha sonra, saldırganın kaynak deposundaki Git etiketlerini iyi huylu versiyona yönlendirmek için değiştirdiği söylenir.
Bu aldatıcı yaklaşım, GitHub deposunun manuel denetiminin kötü niyetli içerik ortaya koymamasını sağlarken, önbellekleme mekanizması Paketi yükleyen şüpheli geliştiricilerin GO CLI’yi kullanarak geri alınmış varyant indirmeye devam ettikleri anlamına geliyordu.
Boychenko, “Bir modül versiyonu önbelleğe alındığında, orijinal kaynak daha sonra değiştirilmiş olsa bile, Go modülü proxy’den erişilebilir olmaya devam ediyor.” Dedi. Diyerek şöyle devam etti: “Bu tasarım meşru kullanım durumlarına fayda sağlasa da, tehdit oyuncusu depoya sonraki değişikliklere rağmen kötü niyetli kodları sürekli olarak dağıtmak için kullandı.”
“Hem güvenlik avantajları hem de potansiyel istismar vektörleri sunan değişmez modüllerle, geliştiriciler ve güvenlik ekipleri, algılamadan kaçınmak için önbelleğe alınmış modül sürümlerinden yararlanan saldırıları izlemelidir.”
Geliştirme, sistem meta verilerini toplamak ve bir uzak sunucu tarafından verilen rasgele komutları çalıştırmak için gizlenmiş kodu barındıran Serv-Static-Corell, Openssl-Not ve bir sonraki refresh-token detaylı üç kötü niyetli NPM paketi olarak gelir (“8.152.163[.]60 “) enfekte konakta.