Paquete Go malicioso está explotando el almacenamiento en caché de Module Mirror para lograr acceso remoto persistente

Investigadores de ciberseguridad han alertado sobre un ataque a la cadena de suministro de software que afecta al ecosistema de Go. Este ataque implica un paquete malicioso diseñado para otorgar a los atacantes acceso remoto a los sistemas comprometidos.

El paquete en cuestión, llamado github.com/boltdb-go/bolt, es una imitación del módulo legítimo de la base de datos BoltDB (github.com/boltdb/bolt), según el informe de Socket. La versión maliciosa (1.3.1) se subió a GitHub en noviembre de 2021 y, posteriormente, quedó almacenada indefinidamente en la caché del servicio Go Module Mirror.

«Cuando se instala, este paquete alterado permite a los atacantes controlar el sistema infectado de forma remota y ejecutar comandos arbitrarios», explicó el investigador de seguridad Kirill Boychenko en su análisis.

Socket señaló que este incidente representa uno de los primeros casos documentados en los que un actor malicioso ha aprovechado la persistencia del almacenamiento en caché de Go Module Mirror para inducir a error a los desarrolladores y hacer que descarguen software malicioso. Más tarde, el atacante modificó las etiquetas de Git en el repositorio original para que apuntaran a una versión legítima.

Gracias a esta táctica engañosa, una revisión manual del repositorio en GitHub no mostraba ninguna actividad sospechosa. Además, el almacenamiento en caché garantizaba que los desarrolladores que instalaban el paquete a través de la interfaz de línea de comandos de Go continuaran obteniendo la versión infectada.

«Cuando una versión de un módulo es almacenada en caché, sigue estando disponible a través del Go Module Proxy, incluso si el código fuente original se modifica después. Aunque este sistema es útil para propósitos legítimos, en este caso fue explotado por el atacante para distribuir código malicioso de manera persistente, a pesar de los cambios posteriores en el repositorio», señaló Boychenko.

«Dado que los módulos inmutables ofrecen tanto ventajas de seguridad como riesgos de abuso, los desarrolladores y equipos de seguridad deben estar atentos a ataques que se aprovechen de versiones almacenadas en caché para evadir la detección».

Este incidente ocurre mientras la empresa Cycode ha identificado tres paquetes maliciosos en npm – serve-static-corell, openssl-node y next-refresh-token – que contenían código oculto para recopilar información del sistema y ejecutar instrucciones enviadas por un servidor remoto («8.152.163[.]60») en el sistema infectado.

Gracias por apoyar el libre conocimiento con tu donación!
Bitcoin: bc1q4sw9260twfcxatj8mjp7358cyvrf8whzlelyhj
Ethereum: 0xFb93D2a3c9d1A0b83EE629c2dE1725BCa192e581
Litecoin: LbFduJmHvQXcpCnwfUT7aJ4DYoWSL3iQw8
Dogecoin: D7QQVqNR5rk215A4zd2gyzV9P2bLQtZHFV
Transferencia bancaria en México:
Cuenta CLABE: 646180224401848086 Nombre: Masterhacks LATAM Banco: STP

Unete a nuestros grupos:
WhatsApp: https://chat.whatsapp.com/C8fqiz3aDDc58VRRd1vdrb
Telegram: https://t.me/masterhacks_net
Canal de WhatsApp https://whatsapp.com/channel/0029VaBBLCn5vKAH9NOWCl3K

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *