Google ha presionado un paquete de backdard durante más de tres años el lunes, que es un proxy de espejo para los desarrolladores del lenguaje de programación GO, después de identificar a los investigadores que solicitaron el código contaminado dos veces.
Servicio, conocido como Ir al espejo del móduloGitHub y en otro lugar para hacer los paquetes de código abierto de caché para que las descargas sean más rápidas y sean compatibles con el resto del ecosistema GO. De manera predeterminada, cuando alguien usa equipos de línea de comandos incorporados para descargar o instalar los paquetes, las solicitudes se conducen a través del servicio. Un detalle en el sitio dice que la proximidad proporciona al equipo GEO y “gobernado por Google”.
Atrapar
Desde noviembre de 2021, el Mirror de módulo GEO está alojando una versión con revestimiento de un módulo muy utilizado, Security Socle Socket Dice el lunesEl El archivo se utiliza en “Typsting”, una técnica que hace que los nombres de archivos contaminados como el ampliamente utilizado los vieran y plantarlos en el repositorio popular. Cuando alguien en el evento trae un archivo con la línea de comando, el nombre correcto crea una ligera variación del nombre correcto, aterriza en el archivo contaminado en lugar de su elección. (Un esquema de typscating similar también es común con los nombres de dominio))
El módulo contaminado se llamaba Boltdb-go/perno, es una variación de BoltDB/Bolt, que se adopta ampliamente 8,367 otros paquetes Dependiendo de la ejecución. El paquete contaminado apareció por primera vez en Githube. El archivo finalmente vuelve a la versión válida, pero luego el espejo GO del módulo se preocupa por la puerta trasera y lo guarda durante los próximos tres años.
Los investigadores de Socket escribieron: “El éxito de este ataque se basa en el diseño del servicio de proxy del módulo GO, que da prioridad a la captura para el rendimiento y la disponibilidad”, escribieron los investigadores de Socket. “Una vez que se causa la versión del módulo, se puede acceder a través del proxy del módulo GO, incluso si la fuente original se corrige más adelante. Aunque este diseño beneficia el uso legal, el actor amenazado lo usó para distribuir el código contaminado a pesar del cambio en el repositorio. “