Goエコシステムで非常に欺瞞的なソフトウェアサプライチェーン攻撃が発見されました。単純なタイポを武器化してDNSベースのバックドアを配布しています。
Socketのセキュリティ研究者は最近、github.com/shopsprint/decimalという名前の悪意のあるGoモジュールを発見しました。
このパッケージは非常に人気のあるShopspring/decimalライブラリのタイポスクワットで、最後の文字を変更して開発者をマルウェアのダウンロードに誘導しています。
このキャンペーンを際立たせているのはその極度の忍耐です。悪意のあるモジュールはGoエコシステム上で約6年間無害に存在し、正当なアップストリームパッケージの更新を完全に鏡写しした更新を受け取りました。
2023年8月19日、脅威アクターはバージョンv1.3.3を公開してバックドアを静かに導入する「信頼してから毒入れ」戦略を実行しました。
元のGitHubリポジトリとユーザーアカウントは削除されていますが、Go Module Proxyは誤ったURLをタイプした人に対して毒入れされたキャッシュを提供し続けています。
悪意のある更新は、net、os/exec、timeという3つの新しいインポートをmathライブラリに接合しました。また、パッケージがインポートされるとバックグラウンドで自動的にコマンド・アンド・コントロール(C2)ループを開始する隠し init() 関数を導入しました。
開発者がマルウェアを実行するためにライブラリの関数を呼び出す必要さえありません。
このバックドアは標準的なHTTP出力ファイアウォールを回避するためにDNS TXTレコードを完全に使用して動作します。ルーチンは無料の動的DNSプロバイダ上の特定のサブドメインを5分ごとにポーリングします。
DNSクエリから返されたテキスト文字列はシステムのコマンド実行ハンドラーに直接渡され、攻撃者は被害者のマシン上で任意のコードを実行できます。
実行中のアプリケーションの権限を継承しているため、このペイロードは開発者ワークステーション、CI/CDランナー、本番環境を簡単に侵害できます。
翻訳元: https://cyberpress.org/go-typosquat-spreads-backdoor/
