Los investigadores de ciberseguridad han llamado la atención sobre un ataque de cadena de suministro de software dirigido al ecosistema GO que implica un paquete malicioso capaz de otorgar el acceso remoto adversario a los sistemas infectados.
El paquete, llamado github.com/boltdb-go/bolt, es un tipo de tipográfico del módulo de base de datos Boltdb legítimo (github.com/boltdb/bolt), por socket. La versión maliciosa (1.3.1) se publicó en GitHub en noviembre de 2021, después de la cual fue almacenada en caché indefinidamente por el servicio de espejo del módulo GO.
«Una vez instalado, el paquete trasero otorga el acceso remoto del actor de amenaza al sistema infectado, lo que les permite ejecutar comandos arbitrarios», dijo el investigador de seguridad Kirill Boychenko en un análisis.
Socket dijo que el desarrollo marca una de las primeras instancias de un actor malicioso que abusa del almacenamiento de módulos indefinido del Module Module Module para engañar a los usuarios para que descarguen el paquete. Posteriormente, se dice que el atacante modificó las etiquetas GIT en el repositorio de origen para redirigirlas a la versión benigna.
Este enfoque engañoso aseguró que una auditoría manual del repositorio de GitHub no revelara ningún contenido malicioso, mientras que el mecanismo de almacenamiento en caché significaba que los desarrolladores desprevenidos que instalaban el paquete utilizando la CLI Go continuaban descargando la variante trasera.
«Una vez que se almacena una versión en caché, permanece accesible a través del proxy del módulo GO, incluso si la fuente original se modifica más tarde», dijo Boychenko. «Si bien este diseño beneficia los casos de uso legítimos, el actor de amenaza lo explotó para distribuir persistentemente el código malicioso a pesar de los cambios posteriores al repositorio».
«Con módulos inmutables que ofrecen beneficios de seguridad y posibles vectores de abuso, los desarrolladores y los equipos de seguridad deben monitorear ataques que aprovechen las versiones de los módulos en caché para evadir la detección».
El desarrollo se produce cuando Cycode detalló tres paquetes NPM maliciosos: servir-static-corell, openssl-nodo y next-fresh-token, que albergó un código ofuscado para recopilar metadatos del sistema y ejecutar comandos arbitrarios emitidos por un servidor remoto («8.152.163 (.) 60 «) en el huésped infectado.