حمله سایبری مرگبار به Go: مراقب این بسته مخرب باشید!

محققان امنیت سایبری از یک حمله زنجیره تامین نرم‌افزار در اکوسیستم Go خبر داده‌اند که شامل یک بسته مخرب است که قادر به اعطای دسترسی از راه دور به سیستم‌های آلوده به مهاجم است. این بسته با نام github.com/boltdb-go/bolt یک غلط املایی از ماژول پایگاه داده معتبر BoltDB (github.com/boltdb/bolt) است. نسخه مخرب (1.3.1) در نوامبر 2021 در GitHub منتشر شد و پس از آن توسط سرویس Go Module Mirror به طور نامحدود ذخیره شد.

حمله سایبری مرگبار به Go

این رویداد یکی از اولین نمونه‌های سوء استفاده یک بازیگر مخرب از ذخیره‌سازی نامحدود ماژول توسط Go Module Mirror برای فریب کاربران به دانلود بسته است. مهاجم با تغییر تگ‌های Git در مخزن منبع، آنها را به نسخه بی‌خطر هدایت کرده است.

این رویکرد فریبنده تضمین می‌کرد که یک بازرسی دستی از مخزن GitHub هیچ محتوای مخربی را نشان ندهد، در حالی که مکانیزم ذخیره‌سازی به این معنا بود که توسعه‌دهندگان ناآگاه که بسته را با استفاده از go CLI نصب می‌کنند، همچنان نوع پشتیبان‌شده را دانلود می‌کنند. توسعه‌دهندگان و تیم‌های امنیتی باید حملاتی را که از نسخه‌های ماژول ذخیره‌شده برای فرار از شناسایی استفاده می‌کنند، زیر نظر داشته باشند. این تحول در حالی رخ می‌دهد که Cycode سه بسته مخرب npm – serve-static-corell، openssl-node و next-refresh-token – را که حاوی کد مبهم برای جمع‌آوری فراداده‌های سیستم و اجرای دستورات دلخواه صادر شده توسط یک سرور راه دور در میزبان آلوده بودند، تشریح کرد.

بسته Go مخرب از ذخیره‌ سازی آینه ماژول برای دسترسی از راه دور مداوم سوء استفاده می‌ کند

به گزارش زوم تک از thehackernews، محققان امنیت سایبری توجه را به یک حمله زنجیره تامین نرم‌افزار که اکوسیستم Go را هدف قرار می‌دهد و شامل یک بسته مخرب است که قادر به اعطای دسترسی از راه دور به سیستم‌های آلوده به مهاجم است، جلب کرده‌اند.

این بسته با نام github.com/boltdb-go/bolt، طبق گفته ساکت، یک غلط املایی از ماژول پایگاه داده معتبر BoltDB (github.com/boltdb/bolt) است. نسخه مخرب (1.3.1) در نوامبر 2021 در GitHub منتشر شد و پس از آن توسط سرویس Go Module Mirror به طور نامحدود ذخیره شد.

محقق امنیتی Kirill Boychenko در تجزیه و تحلیلی گفت: “پس از نصب، بسته پشتیبان‌شده به بازیگر تهدید دسترسی از راه دور به سیستم آلوده را می‌دهد و به آنها اجازه می‌دهد دستورات دلخواه را اجرا کنند.”

ساکت گفت که این توسعه یکی از اولین موارد سوء استفاده یک بازیگر مخرب از ذخیره‌سازی نامحدود ماژول توسط Go Module Mirror برای فریب کاربران به دانلود بسته را نشان می‌دهد. متعاقباً، گفته می‌شود که مهاجم تگ‌های Git را در مخزن منبع تغییر داده است تا آنها را به نسخه بی‌خطر هدایت کند.

این رویکرد فریبنده تضمین می‌کرد که یک بازرسی دستی از مخزن GitHub هیچ محتوای مخربی را نشان ندهد، در حالی که مکانیزم ذخیره‌سازی به این معنا بود که توسعه‌دهندگان ناآگاه که بسته را با استفاده از go CLI نصب می‌کنند، همچنان نوع پشتیبان‌شده را دانلود می‌کنند.

Boychenko گفت: “هنگامی که یک نسخه ماژول ذخیره شود، از طریق پروکسی ماژول Go قابل دسترسی باقی می‌ماند، حتی اگر منبع اصلی بعداً تغییر کند.” “در حالی که این طراحی به موارد استفاده قانونی کمک می‌کند، بازیگر تهدید از آن برای توزیع مداوم کد مخرب علیرغم تغییرات بعدی در مخزن سوء استفاده کرد.”

با ماژول‌های تغییرناپذیر که هم مزایای امنیتی و هم بردارهای سوء استفاده بالقوه را ارائه می‌دهند، توسعه‌دهندگان و تیم‌های امنیتی باید حملاتی را که از نسخه‌های ماژول ذخیره‌شده برای فرار از شناسایی استفاده می‌کنند، زیر نظر داشته باشند.

این توسعه در حالی رخ می‌دهد که Cycode سه بسته مخرب npm – serve-static-corell، openssl-node و next-refresh-token – را که حاوی کد مبهم برای جمع‌آوری فراداده‌های سیستم و اجرای دستورات دلخواه صادر شده توسط یک سرور راه دور (“8.152.163[.]60”) در میزبان آلوده بودند، تشریح کرد.