Um proxy do espelho que o Google é executado em nome dos desenvolvedores da linguagem de programação Go empurrou um pacote de backdoor por mais de três anos até segunda -feira, depois que os pesquisadores que viram o código malicioso solicitaram que fosse derrubado duas vezes.
O serviço, conhecido como o Vá espelhamento do móduloOs pacotes de código aberto de caches disponíveis no Github e em outros lugares para que os downloads sejam mais rápidos e para garantir que sejam compatíveis com o restante do ecossistema Go. Por padrão, quando alguém usa ferramentas de linha de comando incorporadas para fazer o download ou instalar pacotes, as solicitações são roteadas através do serviço. Uma descrição no site diz que o proxy é fornecido pela equipe Go e “administrado pelo Google”.
Cache em
Desde novembro de 2021, o módulo Go Mirror hospeda uma versão em backdoor de um módulo amplamente utilizado, soquete da empresa de segurança disse segunda -feira. O arquivo usa “typosquatting”, uma técnica que fornece nomes de arquivos maliciosos semelhantes aos legítimos amplamente usados e os planta em repositórios populares. No caso de alguém fazer um erro de digitação ou mesmo uma pequena variação do nome correto ao buscar um arquivo com a linha de comando, eles pousam no arquivo malicioso em vez do que eles queriam. (Um esquema de digitação semelhante também é comum com nomes de domínio.)
O módulo malicioso foi nomeado Boltdb-Go/Bolt, uma variação de Boltdb/Bolt amplamente adotado, que 8.367 outros pacotes depende de correr. O pacote malicioso apareceu pela primeira vez no Github. O arquivo lá foi revertido de volta à versão legítima, mas até então, o módulo GO Mirror havia cache o backdoor e o armazenou nos próximos três anos.
“O sucesso desse ataque baseou -se no design do serviço de proxy do módulo GO, que prioriza o cache para desempenho e disponibilidade”, escreveram os pesquisadores do soquete. “Depois que uma versão do módulo é armazenada em cache, ela permanece acessível através do proxy do módulo GO, mesmo que a fonte original seja modificada posteriormente. Embora esse design beneficie casos de uso legítimos, o ator de ameaças o explorou para distribuir persistentemente código malicioso, apesar das mudanças subsequentes no repositório. ”
