L’ensemble malveillant, un typosquat du module BoltDB populaire, serait parmi les premiers exploits connus de la mise en cache du module indéfini du module Go du module Go.
Un ensemble de typosquat malveillant a été trouvé dans l’écosystème de la langue Go. Le package, qui contient une porte dérobée pour permettre l’exécution du code distant, a été découverte par les chercheurs de la société de sécurité d’application.
Un article de blog de socket du 3 février stipule que le package imite le module de base de données de boulons largement utilisé. Le package BoltDB est largement adopté dans l’écosystème Go, avec 8 367 packages en fonction, selon le blog. Une fois que le malware a été mis en cache par le miroir du module Go, le git Le TAG a été stratégiquement modifié sur GitHub pour supprimer les traces de logiciels malveillants et le masquer à l’examen manuel. Développeurs qui ont vérifié manuellement github.com/boltdb-go/bolt sur Github n’a pas trouvé de traces de code malveillant. Mais le téléchargement du package via le proxy du module Go a récupéré une version arrière originale. Cette tromperie n’est pas détectée pendant plus de trois ans, permettant au package malveillant de persister dans le référentiel public.
Socket a demandé à la suppression du paquet du miroir du module et a signalé le référentiel et le compte Github de l’acteur de menace, qui ont été utilisés pour distribuer le malveillant boltdb-go emballer. Cette attaque est parmi les premiers cas documentés d’un mauvais acteur exploitant la mise en cache indéfinie des modules du module GO Mirror, selon Socket. Pour atténuer les menaces de chaîne d’approvisionnement logiciels, Socket a indiqué que les développeurs devraient vérifier l’intégrité du package avant l’installation. Ils devraient également analyser les dépendances pour les anomalies et utiliser des outils de sécurité qui inspectent le code installé à un niveau plus profond. Google, où GO a été conçu, n’a pas pu être immédiatement contacté pour commenter le problème le 5 février.
