Κρυφό backdoor σε πακέτο Go παρέμεινε απαρατήρητο για χρόνια

**nnn** · 08-02-25, 12:32

Η γλώσσα προγραμματισμού Go σχεδιάστηκε για να προσφέρει ένα συντακτικό που μοιάζει με τη γλώσσα C, ενώ δίνει προτεραιότητα στην προστασία της μνήμης και την ασφάλεια. Γνωστή και ως Golang, η Go έχει αυξήσει τη δημοτικότητά της τόσο μεταξύ νόμιμων προγραμματιστών όσο και μεταξύ πολυμήχανων κυβερνοεγκληματιών.

Η Go, μία από τις πιο δημοφιλείς γλώσσες προγραμματισμού μαζί με τα «παραδοσιακά» πρότυπα, όπως η Python, η C και η Visual Basic, αξιοποιήθηκε για τη μετατροπή νόμιμων έργων ανοικτού κώδικα σε κακόβουλο λογισμικό. Η καρδιά του προβλήματος εντοπίστηκε στην υπηρεσία proxy.golang.org που ανήκει στην Google, η οποία λειτουργεί ως εναλλακτικό αποθετήριο (mirror) για τους προγραμματιστές ώστε να αντλούν και να εγκαθιστούν γρήγορα τις ενότητες Go χωρίς να χρειάζεται να έχουν πρόσβαση στα αρχικά αποθετήρια GitHub.

Η επίθεση στην αλυσίδα εφοδιασμού ανακαλύφθηκε πρόσφατα από την εταιρεία ασφαλείας Socket Inc. η οποία έπαιξε καθοριστικό ρόλο στην κατάργηση του κακόβουλου πακέτου. Το Go Module Mirror φιλοξενούσε μια τροποποιημένη έκδοση ενός νόμιμου πακέτου Go που ονομάζεται boltdb, το οποίο χρησιμοποιείται από χιλιάδες άλλα πακέτα λογισμικού. Αυτή η κακόβουλη έκδοση εισήλθε στον διακομιστή μεσολάβησης της Google το 2021 και διανεμήθηκε στους προγραμματιστές Go τουλάχιστον μέχρι την περασμένη Δευτέρα.

Η κακόβουλη ενότητα περιείχε ένα ωφέλιμο φορτίο backdoor που διαχειρίζονταν οι φορείς απειλών μέσω ενός εξωτερικού διακομιστή εντολών και ελέγχου. Όταν η ενότητα είχε ανακτηθεί από το Go Module Mirror της Google, οι κυβερνοεγκληματίες μετέβαλαν το αποθετήριο GitHub επαναφέροντας το πακέτο σε μια καθαρή έκδοση. Αυτό επέτρεψε στην κερκόπορτα να περάσει απαρατήρητη, ενώ κρυβόταν στον διακομιστή μεσολάβησης για χρόνια.

Η κερκόπορτα σχεδιάστηκε για τη δημιουργία μιας κρυφής διεύθυνσης IP και θύρας, οι οποίες χρησιμοποιούνταν για την αναζήτηση περαιτέρω εντολών και εντολών στον διακομιστή C2. Η IP ανήκε στην εταιρεία φιλοξενίας Hetzner Online, έναν νόμιμο και αξιόπιστο πάροχο υποδομών, ο οποίος προσέφερε ένα επιπλέον επίπεδο «αορατότητας» στο κακόβουλο λογισμικό.

Πηγή : Techspot

**ipo** · 08-02-25, 13:58

Ενδιαφέρον. Προσθέτω και το παρακάτω εδάφιο που κάνει πιο σαφή τον τρόπο επίθεσης:

Google's proxy service prioritizes caching for performance reasons, as Socket explained, and retains a cached package even after the original source has been modified. The cybercriminals used a typosquatting technique to create a new repository on GitHub (boltdb-go/bolt), with a URL that resembled the original, clean one (boltdb/bolt).

Άρα έβαλαν στο αποθετήριο κακόβουλο κώδικα με παραπλήσιο URL κι αυτός κατόπιν πήγε στην cache της Google. Στη συνέχεια πέρασαν στο αποθετήριο καθαρό κώδικα, ώστε να μην τον αντιληφθούν οι ερευνητές ασφαλείας. Αντιθέτως, στον caching server της Google παρέμεινε για χρόνια ο κακόβουλος, αλλά με αυτόν δεν ασχολούνταν επί χρόνια οι ερευνητές, θεωρώντας ότι είναι 1:1 mirror του αρχικού αποθετηρίου. Στην πράξη όμως ο caching server είχε κώδικα που ήταν 3-4 χρόνια πίσω.