Go Module Mirrorは3年以上の間Vackdoorに開発者に提供されます

GOプログラミング言語の開発者に代わってMirror Proxyが実行されているのは、悪意のあるコードが2回削除されることを請願した研究者を発見した後、月曜日まで3年以上にわたって背景パッケージをプッシュしました。

GOモジュールミラーとして知られるサービスは、GitHubなどで利用可能なオープンソースパッケージをキャッシュして、ダウンロードが高速になり、GOエコシステムの残りの部分と互換性があることを確認します。デフォルトでは、誰かが組み込まれたコマンドラインツールを使用して、パッケージをダウンロードまたはインストールするために使用すると、リクエストはサービスを通じてルーティングされます。サイトの説明では、プロキシはGOチームによって提供され、「Googleが実行する」と述べています。

キャッシュイン

2021年11月以来、GOモジュールミラーは広く使用されているモジュールの背景バージョンをホストしていると、セキュリティ会社Socketは月曜日に述べています。このファイルは、「Typosquatting」を使用します。これは、広く使用されている正当なファイルと同様の悪意のあるファイル名を提供し、人気のあるリポジトリに植えます。誰かがコマンドラインを使用してファイルを取得するときにタイプミスまたはマイナーな名前からマイナーなバリエーションを作成した場合、彼らは望むものではなく悪意のあるファイルに着陸します。 （ドメイン名でも同様のタイプスキャットスキームも一般的です。）

悪意のあるモジュールは、広く採用されているBoltdb/BoltのバリエーションであるBoltdb-go/boltと名付けられました。悪意のあるパッケージがGithubに最初に登場しました。そこのファイルは最終的に正当なバージョンに戻されましたが、それまでに、GOモジュールミラーは背景のものをキャッシュし、今後3年間保存していました。

「この攻撃の成功は、パフォーマンスと可用性のキャッシュを優先するGOモジュールプロキシサービスの設計に依存していました」とSocket Researchersは書いています。 「モジュールバージョンがキャッシュされると、元のソースが後で変更されたとしても、GOモジュールプロキシを通じてアクセス可能なままです。この設計は合法的なユースケースに利益をもたらしますが、脅威アクターは、リポジトリへのその後の変更にもかかわらず、悪意のあるコードを永続的に配布するためにそれを利用しました。」