Поддельная версия пакета Go долгое время оставалась незамеченной в сети

Кто-то форкнул популярный модуль базы данных и оборудовал его вредоносным кодом. Мalignious fork был затем закэширован и хранится неопределённо долго. Затем он креативно спрятался на виду, чтобы целиться в разработчиков Go.

Эксперты предупредили о поставочной цепи атаки на разработчиков платформы Go, которая якобы пряталась на виду три года для распространения вредоносного ПО.

Исследователи безопасности из Socket Security раскрыли и публично обсудили эту кампанию, которая началась ещё в 2021 году, когда кто-то взял относительно популярный модуль базы данных под названием BoltDB на GitHub и форкнул его. В этом форке были добавлены злонамеренные коды, которые давали злоумышленнику возможность удалённого доступа к зараженным компьютерам. Эта версия затем была закэширована неопределенно долго сервисом Go Module Mirror.

Go Module Mirror — это прокси-сервис, управляемый Google, который закэшировывает и предоставляет модули Go для улучшения надёжности, доступности и производительности. Он обеспечивает доступ к модулям Go даже в случае изменений, удаления или временной недоступности исходного источника.

После того как версия была закэширована, злоумышленник изменил Git теги в исходном репозитории, чтобы перенаправить посетителей на безопасную версию, фактически скрывая вредоносное ПО на виду.

«После установки заражённый пакет предоставляет угрожающему актору удалённый доступ к инфицированной системе, позволяя им выполнять произвольные команды», — сказал исследователь безопасности Кирилл Бойченко в своём отчёте.

Обращаясь к The Hacker News, Socket отметил, что это одно из ранних зарегистрированных случаев использования злоумышленниками сервиса Go Module Mirror. «Это возможно потому, что Git теги изменяемы, если они не защищены», — сказал Socket. «Владелец репозитория может удалять и переопределять тег для другой коммит в любое время. Однако прокси-сервис Go Module уже закэшировал оригинальную злонамеренную версию, которая никогда не обновлялась или не удалялась из прокси, что позволило атаке продолжаться».

Мalignious версия оказалась постоянно доступной через прокси-сервис Go Module Proxy. «Хотя этот дизайн способствует легитимным случаям использования, злоумышленник использовал его для постоянного распространения злонамеренного кода несмотря на последующие изменения в репозитории», — объяснил Бойченко.

Бойченко отметил, что он сообщил о своих находках и ждёт удаление злонамеренного контента: «На момент публикации злонамеренный пакет остаётся доступным в прокси-сервисе Go Module. Мы обратились с просьбой об его удалении из модульного зеркала и также сообщили о репозитории и аккаунте GitHub злоумышленника, которые использовались для распространения заражённого пакета boltdb-go».