Проксі-сервер Google три роки кешував непомітний бекдор

Дзеркальний проксі-сервер Google кешував і зберігав бекдорний пакет модуля бази даних BoltDB більше трьох років, пише Ars Technica. Сервіс, відомий як Go Module Mirror, кешує пакети з відкритим кодом, доступні на GitHub та в інших місцях, щоб завантаження були швидшими та щоб вони були сумісні з рештою екосистеми Go.

З листопада 2021 року Go Module Mirror розміщував бекдорну версію модуля для мови програмування Go під назвою boltdb-go/bolt — невірно написану варіацію широко поширеного boltdb/bolt, від якого залежить робота 8367 інших пакетів.

Бекдор проник у модуль, створив приховану IP-адресу з портом і підключився до сервера, контрольованого зловмисником. Потім він міг виконувати будь-які команди, видані віддаленим сервером. Дії хакера виглядали наступним чином:

• Зловмисник створює репозиторій, змінюючи один символ у назві (github.com/boltdb-go/bolt ) на GitHub.
• Далі він публікує в репозиторії бекдорну версію BoltDB (v1.3.1) із прихованим механізмом віддаленого доступу.
• Go Module Mirror отримує та кешує цю версію, зберігаючи її для майбутніх установок.
• Зловмисник змінює репозиторій GitHub, замінюючи v1.3.1 на чисту версію.
• Рецензенти, які вручну перевіряють репозиторії GitHub, бачать лише чисту версію.
• Незважаючи на те, що репозиторій GitHub виглядає безпечним, Go Module Mirror продовжує надавати розробникам шкідливу версію зі свого кешу BoltDB v1.3.1.

Після двох петицій зловмисний кешований пакет був видалений з Go Module Mirror 3 лютого 2025 року.