Los investigadores de ciberseguridad han llamado la atención sobre un ataque de esclavitud de suministro de software dirigido al ecosistema GO que implica un paquete receloso capaz de otorgar el comunicación remoto adversario a los sistemas infectados.
El paquete, llamado github.com/boltdb-go/bolt, es un tipo de tipográfico del módulo de saco de datos Boltdb legal (github.com/boltdb/bolt), por socket. La interpretación maliciosa (1.3.1) se publicó en GitHub en noviembre de 2021, luego de la cual fue almacenada en personalidad indefinidamente por el servicio de espejo del módulo GO.
“Una vez instalado, el paquete trasero otorga el comunicación remoto del actor de amenaza al sistema infectado, lo que les permite ejecutar comandos arbitrarios”, dijo el investigador de seguridad Kirill Boychenko en un prospección.
Socket dijo que el crecimiento marca una de las primeras instancias de un actor receloso que abusa del almacenamiento de módulos indefinido del Module Module Module para engañar a los usuarios para que descarguen el paquete. Luego, se dice que el atacante modificó las etiquetas GIT en el repositorio de origen para redirigirlas a la interpretación benigna.
Este enfoque engañoso aseguró que una auditoría manual del repositorio de GitHub no revelara ningún contenido receloso, mientras que el mecanismo de almacenamiento en personalidad significaba que los desarrolladores desprevenidos que instalaban el paquete utilizando la CLI Go continuaban descargando la reforma trasera.
“Una vez que se almacena una interpretación en personalidad, permanece accesible a través del proxy del módulo GO, incluso si la fuente flamante se modifica más tarde”, dijo Boychenko. “Si admisiblemente este diseño beneficia los casos de uso legítimos, el actor de amenaza lo explotó para distribuir persistentemente el código receloso a pesar de los cambios posteriores al repositorio”.
“Con módulos inmutables que ofrecen beneficios de seguridad y posibles vectores de demasía, los desarrolladores y los equipos de seguridad deben monitorear ataques que aprovechen las versiones de los módulos en personalidad para escamotear la detección”.
El crecimiento se produce cuando Cycode detalló tres paquetes NPM maliciosos: servir-static-corell, openssl-nodo y next-fresh-token, que albergó un código ofuscado para compilar metadatos del sistema y ejecutar comandos arbitrarios emitidos por un servidor remoto (“8.152.163 (.) 60 “) en el huésped infectado.
