Cybernapadi na softverske lance opskrbe: Zastrašujuća priča o Go platformi
Napadi na softverske lance opskrbe postali su sve češći, a nedavna otkrića stručnjaka ukazuju na alarmantnu situaciju koja se odvijala na Go platformi. Stručnjaci su upozorili da je napad ciljao developere i skrivao se na vidiku pune tri godine kako bi širio maliciozni softver.
Što se dogodilo s BoltDB modulom?
Ova kampanja otkrivena je od strane istraživača sigurnosti iz Socket Security, koji su javno razgovarali o ovom slučaju. Napad je započeo 2021. godine kada je netko uzeo popularni modul baze podataka pod nazivom BoltDB s GitHub-a i napravio njegovu kopiju (fork). U toj kopiji dodan je maliciozni kod, što je napadaču omogućilo “backdoor” pristup zaraženim računalima.
Kako je napad bio moguć?
- Go Module Mirror: Ovaj proxy servis koji vodi Google služi za pohranu i distribuciju Go modula, poboljšavajući njihovu pouzdanost i dostupnost.
- Keširanje malicioznih verzija: Kada je napadač keširao ovu verziju, promijenio je Git oznake u izvornoj verziji kako bi posjetitelje preusmjerio na benignu verziju, skrivajući malver “na vidiku”.
Kako navodi istraživač Kirill Boychenko, nakon instalacije, zaraženi paket omogućava napadaču daljinski pristup zaraženom sustavu, omogućujući mu izvršavanje proizvoljnih naredbi. Ovo pokazuje koliko je važno pravilno rukovati Git oznakama, jer su one promjenjive osim ako nisu izričito zaštićene.
Kakve su posljedice?
Socket Security smatra da je ovo jedan od prvih zabilježenih slučajeva u kojem su napadači iskoristili Go Module Mirror uslugu. Iako je dizajniran da koristi legitimnim korisnicima, napadač je iskoristio ovu propusnost kako bi trajno distribuiralot maliciozni kod, unatoč kasnijim promjenama u repozitoriju.
Boychenko je izvijestio o svojim saznanjima i čeka da se maliciozni sadržaj ukloni. “Do trenutka objave, zaraženi paket ostaje dostupan na Go Module Proxy. Zatražili smo njegovo uklanjanje iz modula i izvijestili smo o GitHub repozitoriju i računu napadača koji su korišteni za distribuciju ovog malicioznog paketa.” Dodaje da još uvijek čekaju reakciju od strane odgovornih.
Zaključak
Ovaj incident naglašava značaj cyber sigurnosti u svijetu razvoja softvera. Razvojni timovi i pojedinci moraju biti svjesni potencijalnih prijetnji unutar svojih alata i platformi, posebno kada se radi o velikim repozitorijima poput GitHub-a. Održavanje sigurnosti u softverskim lancima opskrbe treba biti prioritet svih koji rade u tehnologiji.
