Go programlama ekosisteminde dört yılı aşkın süredir gizli bir tehlike gizleniyor.
Soket Tehdidi Araştırma Ekibindeki güvenlik araştırmacıları, popüler Google araçlarını taklit eden iki kötü amaçlı yazılım paketi keşfetti.
Meşgul geliştiricileri kandırmak için tasarlanan bu sahte paketler, Mayıs 2021’den bu yana sessizce veri çalıyor.
![Socket AI Tarayıcının kötü amaçlı github analizi[.]com/bpoorman/uuid paketi](https://gbhackers.com/wp-content/uploads/2025/12/image-26.png)
Kötü amaçlı paketler github.com/bpoorman/uuid ve github.com/bpoorman/uid olarak tanımlanıyor.
Meşru ve yaygın olarak kullanılan pborman ve Google UUID kitaplıklarıyla neredeyse aynı görünecek şekilde tasarlanmıştır.
Bu gerçek kitaplıklar, veritabanı satırları, kullanıcı oturumları ve iş takibi için benzersiz tanımlayıcılar oluşturmaya yönelik endüstri standardıdır.
“Yazım hatası” Tuzağı
“Bpoorman” kullanıcı adını kullanan saldırgan, “yazım hatası” adı verilen bir teknik kullandı.
Saldırgan, görsel olarak “pborman”a (meşru bir bakım sağlayıcı) benzeyen bir ad seçerek, geliştiricilerin adı yanlış yazacağını veya uzun bir bağımlılık listesindeki farkı fark edemeyeceğini umuyordu.
![Kötü amaçlı github sayfası[.]com/bpoorman/uuid Git paketi](https://gbhackers.com/wp-content/uploads/2025/12/image-27-1024x458.png)
github[.]com/bpoorman/uuid Pakete gitEn önemlisi, sahte yazılım gerçekten işe yarıyor. Tıpkı gerçek versiyondaki gibi benzersiz kimlikler üretir. Bu, uygulama çökmediği veya bariz hatalar göstermediği için gizli kalmasına olanak tanır. Ancak sahte kod gizli bir arka kapı içeriyor.
Kötü amaçlı kod, Valid adında bir yardımcı işlev içerir. Meşru yazılımda geliştiriciler, bu adda bir işlevin bir kimliğin doğru biçimlendirilip biçimlendirilmediğini kontrol etmesini bekleyebilirler. Sahte versiyonunda ise çok daha tehlikeli bir şey yapıyor.
Bir geliştirici bu Geçerli işleve kullanıcı kimlikleri, e-posta adresleri ve hatta oturum belirteçleri gibi verileri aktardığında, kod bu bilgileri gizlice şifreler.
Daha sonra çalınan verileri, sabit kodlanmış bir API belirteci kullanarak halka açık bir metin paylaşım sitesi olan dpaste.com’a gönderir. Saldırgan daha sonra bu verileri anonim olarak alabilir.
Veriler kurbanın bilgisayarından çıkmadan önce şifrelendiğinden, standart güvenlik araçları hassas sırların çalındığını fark etmeyebilir.
Yıllar önce yayınlanmış olmasına rağmen bu paketler Go paket keşif sitesinde ve genel aynalarda mevcut kalmıştır.
![Tehdit aktörünün github'undan alıntı[.]uid.go sızma kodunu gösteren com/bpoorman/uid deposu](https://gbhackers.com/wp-content/uploads/2025/12/image-28-1024x580.png)
github[.]com/bpoorman/uid gösteren depo uid.go sızma kodu Kamu endeksi “0 ithalat” gösterirken araştırmacılar bunun yanıltıcı olduğu konusunda uyarıyor.
Endeks, özel kurumsal depolardan veya dahili araçlardan yapılan indirmeleri saymıyor; bu da etkilenen sistemlerin gerçek sayısının bilinmediği anlamına geliyor.
Socket, her iki paketi de Go güvenlik ekibine bildirdi ve yazarın hesabının askıya alınmasını talep etti.
Geliştiricilere projelerini denetlemeleri ve kötü niyetli “bpoorman” sahtekarını değil, github.com/google/uuid veya github.com/pborman/uuid’i kullandıklarından emin olmaları şiddetle tavsiye edilir.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.