Besmette versie BoltDB drie jaar lang aangeboden via Go Module Proxy

[Captain Kirk]

Een besmette versie van databasesoftware BoltDB is drie jaar lang via de Go Module Proxy aangeboden, zo stelt securitybedrijf Socket op basis van eigen onderzoek. Duizenden packages in de Go-programmeertaal maken gebruik van BoltDB. Aanvallers besloten van deze populariteit misbruik te maken door een malafide versie van BoltDB te maken met de naam BoltDB-go. Net als bij andere programmeertalen is er ook een grote repository van allerlei Go-packages die ontwikkelaars kunnen downloaden.

De aanvallers plaatsten de besmette versie op GitHub die daarna door de Go Module Proxy werd opgehaald. Deze proxydienst cachet en biedt Go-packages aan. Wanneer ontwikkelaars Go-packages via de command-line installeren of downloaden, gaat het request naar deze proxydienst. Nadat de malafide BoltDB-go door de proxydienst was gecachet wijzigden de aanvallers de tag in de repository en wezen naar een legitieme versie van BoltDB. Bij een inspectie zou de malware zo niet worden ontdekt, maar de proxydienst bleef ontwikkelaars die een typfout maakten de besmette versie aanbieden.

De besmette versie bestond uit een legitieme versie van BoltDB en een backdoor waarmee aanvallers controle over het besmette systeem kunnen krijgen. Alleen ontwikkelaars die een typfout maakten of per ongeluk de verkeerde package kozen kregen de besmette versie. De besmette versie bleek sinds november 2021 in de cache van de Go Module Proxy te staan. Na de ontdekking door onderzoekers is die inmiddels verwijderd.

 

bron: https://www.security.nl