恶意Go包利用模块镜像缓存实现持久远程访问

恶意包的伪装与传播

根据Socket的分析，这个名为github.com/boltdb-go/bolt的恶意包是对合法BoltDB数据库模块（github.com/boltdb/bolt）的“拼写错误劫持”（typosquat）。恶意版本（1.3.1）于2021年11月发布到GitHub，随后被Go Module Mirror服务无限期缓存。

安全研究员Kirill Boychenko在分析中指出：“一旦安装，这个被植入后门的包会授予攻击者对受感染系统的远程访问权限，使其能够执行任意命令。”Socket表示，这是恶意行为者滥用Go Module Mirror无限期缓存模块功能的最早案例之一，目的是诱使用户下载恶意包。

攻击者的欺骗手段

为了掩盖恶意行为，攻击者随后修改了源代码库中的Git标签，将其重定向到良性版本。这种欺骗手段确保了手动审查GitHub仓库时不会发现任何恶意内容，而缓存机制则意味着使用Go CLI安装该包的开发者会继续下载被植入后门的版本。

Boychenko解释道：“一旦模块版本被缓存，它就可以通过Go Module Proxy访问，即使原始源代码后来被修改。虽然这种设计对合法用例有益，但攻击者利用它来持续分发恶意代码，尽管仓库后续发生了变化。”

安全建议与相关案例

Boychenko提醒道：“不可变模块既提供了安全优势，也可能成为滥用的途径。开发者和安全团队应监控那些利用缓存模块版本来逃避检测的攻击。”

与此同时，Cycode详细披露了三个恶意npm包——serve-static-corell、openssl-node和next-refresh-token。这些包包含混淆代码，用于收集系统元数据并执行远程服务器（“8.152.163[.]60”）在受感染主机上发出的任意命令。

通过以上分析可以看出，软件供应链攻击正变得越来越复杂，开发者和安全团队需要更加警惕，尤其是在使用第三方依赖时，应加强审查和监控，以防止类似攻击的发生。

原文来自: freebuf.com