Nel mondo della sicurezza informatica, è stata scoperta una nuova minaccia nel sistema di pacchetti Go, che sfrutta il caching del modulo mirror per mantenere un accesso remoto persistente su sistemi infetti. Questo attacco alla supply chain prende di mira l'ecosistema Go attraverso un pacchetto dannoso che permette agli aggressori di ottenere accesso remoto ai sistemi compromessi.

Pacchetto Malevolo

Il pacchetto in questione, denominato github.com/boltdb-go/bolt, è un esempio di typosquatting del legittimo modulo BoltDB (github.com/boltdb/bolt). La versione malevola (1.3.1) è stata pubblicata su GitHub nel novembre 2021 ed è stata successivamente memorizzata nella cache in modo perpetuo dal servizio Go Module Mirror. Una volta installato, il pacchetto backdoor consente agli attaccanti di eseguire comandi arbitrari sui sistemi infetti.

Sfruttamento della Cache

Questo sviluppo rappresenta uno dei primi casi in cui un attore malevolo sfrutta la memorizzazione indefinita dei moduli da parte del Go Module Mirror per ingannare gli utenti e far loro scaricare il pacchetto malevolo. L'attaccante ha modificato i tag Git nel repository sorgente per reindirizzarli a una versione benigna, mentre il modulo mirror ha continuato a distribuire la versione malevola.

Il meccanismo di caching del Go Module Proxy implica che una volta che una versione di un modulo è memorizzata nella cache, essa rimane accessibile, anche se la fonte originale viene modificata successivamente. Questo design, pur essendo vantaggioso per usi legittimi, è stato sfruttato dall'attore malevolo per distribuire codice dannoso in modo persistente, nonostante le modifiche successive al repository.

Audit e Monitoraggio

Questo approccio ingannevole ha fatto sì che un audit manuale del repository GitHub non rivelasse alcun contenuto malevolo, mentre il meccanismo di caching ha permesso ai sviluppatori ignari di continuare a scaricare la variante con backdoor utilizzando il CLI di Go.

Mentre i moduli immutabili offrono benefici di sicurezza, rappresentano anche potenziali vettori di abuso. Gli sviluppatori e i team di sicurezza dovrebbero monitorare eventuali attacchi che sfruttano versioni di moduli memorizzati nella cache per eludere la rilevazione.

Minacce Simili

Parallelamente, Cycode ha documentato tre pacchetti npm malevoli – serve-static-corell, openssl-node, e next-refresh-token – che contenevano codice offuscato per raccogliere metadati di sistema ed eseguire comandi arbitrari inviati da un server remoto.