Перетяжка, Дом карьеры
Перетяжка, Дом карьеры
Перетяжка, Дом карьеры
Написать пост

Go Module Mirror три года распространял бэкдор — его заметили только сейчас

Новости

Go Module Mirror три года распространял бэкдор из-за типосквоттинга. Бэкдор в boltdb-go/bolt угрожал тысячам проектов, но был удалён лишь в 2025 году

233 открытий3К показов
Go Module Mirror три года распространял бэкдор — его заметили только сейчас

Исследователи обнаружили, что Go Module Mirror — официальный прокси-сервис от Google для загрузки Go-модулей — три года распространял бэкдор.

Всё это время разработчики могли случайно установить зараженный пакет вместо оригинального, даже не подозревая об угрозе.

Речь идёт о поддельном модуле boltdb-go/bolt, который маскировался под популярную библиотеку boltdb/bolt.

Этот пакет — зависимость для более чем 8000 других проектов, что делает атаку особенно опасной.

Как это произошло?

Хакеры использовали метод «типосквоттинга»: создали почти идентичное название, надеясь, что кто-то ошибётся при вводе команды. Вредоносный код появился ещё в 2021 году и попал в кэш Go Module Mirror.

OpenAI убила Google: веб-поиск в ChatGPT больше не требует аккаунта
tproger.ru

После этого злоумышленники стерли следы — обновили репозиторий на GitHub, заменив бэкдор чистым кодом. Однако механизм Go не очищает закэшированные версии, поэтому прокси продолжал раздавать заражённый пакет.

Что делал бэкдор?

При установке бэкдор открывал удалённый доступ к устройству. Он подключался к скрытому серверу, позволял хакерам выполнять команды, а также автоматически перезапускался при сбоях.

Сервер для управления атакой находился в сети Hetzner Online — уважаемого хостинг-провайдера. Это помогло обойти антивирусы и затруднило обнаружение атаки.

Почему это заметили только сейчас?

Компания Socket обнаружила бэкдор только в конце января 2025 года.

Они сразу же запросили его удаление, но Google не торопилась. Лишь после второго обращения 3 февраля заражённый модуль был исключён из Go Module Mirror.

Какие выводы?

Этот случай успешно продемонстрировал уязвимость механизмов кэширования.

Разработчики зависят от Go Module Mirror, но он не проверяет изменения в оригинальных репозиториях. Это означает, что если вредоносный код попал в кэш, он там остаётся навсегда, пока его не удалят вручную.

Что делать?

  • Внимательно проверять имена пакетов перед установкой.
  • Использовать инструменты безопасности, анализирующие зависимости.
  • Требовать от Google и Go Team улучшения защиты Go Module Mirror.

Хотя заражённый пакет уже удалён, никто не гарантирует, что подобное не повторится снова.

Следите за новыми постами
Следите за новыми постами по любимым темам
233 открытий3К показов
Также рекомендуем
Google выпустила Android 15. Но большинство вряд ли станет обновляться на эту версию
Google выпустила Android 15. Но большинство вряд ли станет обновляться на эту версию
Google выпустила Android 15, но обновление пока доступно только для разработчиков через AOSP. Пользователи Pixel получат новую версию системы в ближайшие недели, тогда как владельцам других смартфонов придется ждать до конца года
Google Play Integrity API заблокирует установку пиратских Android-приложений
Google Play Integrity API заблокирует установку пиратских Android-приложений
Новый Play Integrity API от Google может ограничить установку приложений из сторонних источников, усиливая контроль над экосистемой Android.
🔥 Google Cloud ввела защиту от квантовых атак
🔥 Google Cloud ввела защиту от квантовых атак
Google Cloud добавила квантово-устойчивые цифровые подписи в Cloud KMS. Это защита от будущих атак квантовых компьютеров на шифрование данных
Google насильно отключила uBlock. Но его можно вернуть и вот как это сделать
Google насильно отключила uBlock. Но его можно вернуть и вот как это сделать
Google отключила uBlock Origin в Chrome, но его можно вернуть. Рассказываем, как снова включить блокировщик рекламы и обойти ограничения