ظل Backdoor Hidden in Go حزمة غير مكتشفة لسنوات

الصورة الكبيرة: تم تصميم لغة برمجة GO لتقديم بناء جملة تشبه C مع إعطاء الأولوية لسلامة الذاكرة والأمن. المعروف أيضًا باسم Golang ، تنمو GO في شعبية بين كل من المطورين الشرعيين والمجرمين الإلكترونيين الحيلة.

اذهب ، واحدة من أكثر”https://www.techspot.com/news/105157-python-most-popular-coding-language-but-challengers-gaining.html”> شعبية لغات البرمجة جنبا إلى جنب “traditional” تم استغلال معايير مثل Python و C و Visual Basic ، لتحويل مشاريع مشروعة مفتوحة المصدر إلى برامج ضارة. يكمن قلب المشكلة في Google المملوكة”https://proxy.golang.org/”> proxy.golang.org الخدمة ، التي تعمل كمرآة للمطورين لجلب وحدات GO بسرعة دون الحاجة إلى الوصول إلى مستودعات GitHub الأصلية.

كان هجوم سلسلة التوريد مؤخرًا”https://socket.dev/blog/malicious-package-exploits-go-module-proxy-caching-for-persistence”> اكتشف بواسطة شركة Security Company Socket Inc. ، التي لعبت دورًا رئيسيًا في خفض الحزمة الضارة. استضافت MO MODULE MIRROR نسخة معدلة من حزمة GO شرعية تسمى BOLTDB ، والتي تستخدمها الآلاف من حزم البرامج الأخرى. دخل هذا الإصدار الضار خادم Google Proxy في عام 2021 وتم تقديمه للذهاب للمطورين على الأقل حتى يوم الاثنين الماضي.

تعطي خدمة الوكيل من Google الأولوية للتخزين المؤقت لأسباب الأداء ، كما أوضح Socket ، وتحتفظ بحزمة مخزنة مؤقتًا حتى بعد تعديل المصدر الأصلي. يستخدم مجرمو الإنترنت أ”https://www.techspot.com/news/97401-hackers-used-legitimate-remote-help-desk-tools-scam.html”> تقنية typosquatting لإنشاء مستودع جديد على github (boltdb-go/blood) ، مع عنوان URL الذي يشبه واحد الأصل النظيف (boltdb/bolt).

“844” العرض=”1500″ ALT SRC=”https://www.techspot.com/images2/news/bigimage/2025/02/2025-02-07-image-23.jpg” srcset=”https://www.techspot.com/images2/news/bigimage/2025/02/2025-02-07-image-23-j_500.webp 500w, https://www.techspot.com/images2/news/bigimage/2025/02/2025-02-07-image-23-j_1100.webp 1100w, https://www.techspot.com/images2/news/bigimage/2025/02/2025-02-07-image-23-j.webp 1500w” >

احتوت الوحدة النمطية الضارة على حمولة خلفية تديرها ممثلو التهديد من خلال خادم القيادة والسيطرة الخارجي. بعد أن تم جلب الوحدة النمطية بواسطة MODULE MIRROR من Google ، قامت مجرمو الإنترنت بتعديل مستودع GITHUB عن طريق عودة الحزمة إلى إصدار نظيف. هذا سمح للورق الخلفي بالمرور دون أن يلاحظه أحد أثناء الاختباء في خادم الوكيل لسنوات.

تم تصميم الباب الخلفي لإنشاء عنوان IP ومنفذ مخفي ، والذي تم استخدامه للتحقق من خادم C2 لمزيد من الطلبات والأوامر. ينتمي عنوان IP إلى شركة Hetzner Online ، وهو مزود للبنية التحتية الشرعية والجديرة بالثقة ، والذي قدم طبقة إضافية من “invisibility” إلى البرامج الضارة.

أوضح المقبس ذلك ، على عكس الآخر “indiscriminate” العمليات الخبيثة ، تم تصميم هذا backdoor هذا لزيادة احتمال وجود هجمات ناجحة والبقاء غير مكتشفة لأطول فترة ممكنة. واجهت الشركة أيضًا مقاومة من Google في جهودها لاتخاذ الحزمة الضارة في وضع عدم الاتصال.

طلبت شركة Security Enterprise أولاً من مديري الوكيل إزالة وحدة Backdoored الأسبوع الماضي ، لكن المشكلة ظلت دون حل. بعد متابعة هذا الأسبوع ، عالجت MODULE MIRROR من Google أخيرًا المشكلة قبل بضعة أيام.