Новини 11/02/2025

Проксі-сервер Google три роки кешував непомітний бекдор

Журналіст

Дзеркальний проксі-сервер Google кешував і зберігав бекдорний пакет модуля бази даних BoltDB більше трьох років, пише Ars Technica. Сервіс, відомий як Go Module Mirror, кешує пакети з відкритим кодом, доступні на GitHub та в інших місцях, щоб завантаження були швидшими та щоб вони були сумісні з рештою екосистеми Go.

З листопада 2021 року Go Module Mirror розміщував бекдорну версію модуля для мови програмування Go під назвою boltdb-go/bolt — невірно написану варіацію широко поширеного boltdb/bolt, від якого залежить робота 8367 інших пакетів.

Бекдор проник у модуль, створив приховану IP-адресу з портом і підключився до сервера, контрольованого зловмисником. Потім він міг виконувати будь-які команди, видані віддаленим сервером. Дії хакера виглядали наступним чином:

Зловмисник створює репозиторій, змінюючи один символ у назві (github.com/boltdb-go/bolt ) на GitHub.
Далі він публікує в репозиторії бекдорну версію BoltDB (v1.3.1) із прихованим механізмом віддаленого доступу.
Go Module Mirror отримує та кешує цю версію, зберігаючи її для майбутніх установок.
Зловмисник змінює репозиторій GitHub, замінюючи v1.3.1 на чисту версію.
Рецензенти, які вручну перевіряють репозиторії GitHub, бачать лише чисту версію.
Незважаючи на те, що репозиторій GitHub виглядає безпечним, Go Module Mirror продовжує надавати розробникам шкідливу версію зі свого кешу BoltDB v1.3.1.