Un serveur proxy de mise en cache appartenant à Google s'est transformé en un risque de sécurité important
La vue d'ensemble: Le langage de programmation Go a été conçu pour offrir une syntaxe de type C tout en priorisant la sécurité et la sécurité de la mémoire. Également connu sous le nom de Golang, GO a gagné en popularité parmi les développeurs légitimes et les cybercriminels ingénieux.
GO, l'un des langages de programmation les plus populaires aux côtés de normes « traditionnelles » telles que Python, C et Visual Basic, a été exploitée pour transformer des projets open source légitimes en logiciels malveillants. Le cœur du problème réside dans le service proxy.golang.org appartenant à Google, qui agit comme un miroir pour que les développeurs puissent rapidement récupérer et installer des modules GO sans avoir besoin d'accéder à leurs référentiels GitHub d'origine.
L'attaque de la chaîne d'approvisionnement a été récemment découverte par la société de sécurité Socket Inc., qui a joué un rôle clé dans la suppression de l'emballage malveillant. Le miroir du module Go a hébergé une version modifiée d'un package GO légitime appelé Boltdb, qui est utilisé par des milliers d'autres packages logiciels. Cette version malveillante est entrée dans le serveur de proxy Google en 2021 et a été servi à aller aux développeurs au moins jusqu'à lundi dernier.
Le service proxy de Google hiérarchise la mise en cache pour des raisons de performances, comme l'a expliqué Socket, et conserve un package en cache même après la modification de la source d'origine. Les cybercriminels ont utilisé une technique de typosquat pour créer un nouveau référentiel sur GitHub (Boltdb-Go / Bolt), avec une URL qui ressemblait à l'original, propre (BoltDB / Bolt).
Le module malveillant contenait une charge utile de porte dérobée gérée par les acteurs de la menace via un serveur de commande et de contrôle externe. Une fois que le module a été récupéré par le miroir du module Go de Google, les cybercriminels ont modifié le référentiel GitHub en renvoyant le package à une version propre. Cela a permis à la porte dérobée de passer inaperçu tout en se cachant dans le serveur proxy pendant des années.
La porte dérobée a été conçue pour créer une adresse IP et un port cachée, qui ont été utilisées pour vérifier le serveur C2 pour d'autres commandes et commandes. L'IP appartenait à la société d'hébergement Hetzner Online, un fournisseur d'infrastructure légitime et digne de confiance, qui offrait une couche supplémentaire d ' »invisibilité » au malware.
Socket a expliqué que, contrairement à d'autres opérations malveillantes « aveugles », cette porte dérobée en particulier a été conçue pour maximiser la probabilité d'attaques réussies et rester non détectée aussi longtemps que possible. La société a également fait face à la résistance de Google dans ses efforts pour retirer le package malveillant hors ligne.
L'entreprise de sécurité a demandé pour la première fois aux directeurs de proxy supprimer le module arrière la semaine dernière, mais le problème n'est pas résolu. Après un suivi cette semaine, le miroir du module Go de Google a finalement abordé le problème il y a quelques jours.
