Проксі-сервер Google три роки кешував непомітний бекдор
Дзеркальний проксі-сервер Google кешував і зберігав бекдорний пакет модуля бази даних BoltDB більше трьох років, пише Ars Technica. Сервіс, відомий як Go Module Mirror, кешує пакети з відкритим кодом, доступні на GitHub та в інших місцях, щоб завантаження були швидшими та щоб вони були сумісні з рештою екосистеми Go.
З листопада 2021 року Go Module Mirror розміщував бекдорну версію модуля для мови програмування Go під назвою boltdb-go/bolt — невірно написану варіацію широко поширеного boltdb/bolt, від якого залежить робота 8367 інших пакетів.
Бекдор проник у модуль, створив приховану IP-адресу з портом і підключився до сервера, контрольованого зловмисником. Потім він міг виконувати будь-які команди, видані віддаленим сервером. Дії хакера виглядали наступним чином:
- Зловмисник створює репозиторій, змінюючи один символ у назві (github.com/boltdb-go/bolt ) на GitHub.
- Далі він публікує в репозиторії бекдорну версію BoltDB (v1.3.1) із прихованим механізмом віддаленого доступу.
- Go Module Mirror отримує та кешує цю версію, зберігаючи її для майбутніх установок.
- Зловмисник змінює репозиторій GitHub, замінюючи v1.3.1 на чисту версію.
- Рецензенти, які вручну перевіряють репозиторії GitHub, бачать лише чисту версію.
- Незважаючи на те, що репозиторій GitHub виглядає безпечним, Go Module Mirror продовжує надавати розробникам шкідливу версію зі свого кешу BoltDB v1.3.1.
Після двох петицій зловмисний кешований пакет був видалений з Go Module Mirror 3 лютого 2025 року.
Favbet Tech – це ІТ-компанія зі 100% українською ДНК, що створює досконалі сервіси для iGaming і Betting з використанням передових технологій та надає доступ до них. Favbet Tech розробляє інноваційне програмне забезпечення через складну багатокомпонентну платформу, яка здатна витримувати величезні навантаження та створювати унікальний досвід для гравців.
Сообщить об опечатке
Текст, который будет отправлен нашим редакторам: