الصورة الكبيرة: تم تطوير لغة برمجة GO لتوفير بناء جملة تشبه C وفي الوقت نفسه يعطي الأولوية لأمن وأمان الذاكرة. تُعرف Go أيضًا باسم Golang ، بشعبية متزايدة مع المطورين الشرعيين والمجرمين الإلكترونية الخيالية.
GO ، واحدة من لغات البرمجة الأكثر شعبية جنبًا إلى جنب مع المعايير “التقليدية” مثل Python و C و Visual Basic ، تم استخدامها لتحويل مشاريع المصادر المفتوحة المشروعة إلى برامج ضارة. كان قلب المشكلة في ملكية Google لـ proxy.golang.org ، والتي تعمل كمرآة للمطورين من أجل الحصول على وحدات GO بسرعة دون الحاجة إلى الوصول إلى مستودعات GitHub الأصلية.
تم اكتشاف إمدادات سلسلة التوريد مؤخرًا من قبل شركة Secouter Company Inc. ، التي لعبت دورًا رئيسيًا في أخذ الحزمة الضارة. نظمت مرآة GO MODULE نسخة معدلة من حزمة GO شرعية تسمى BOLTDB ، والتي تستخدمها الآلاف من حزم البرامج الأخرى. دخل هذا الإصدار الضار خادم Google Proxy في عام 2021 وتم تسليمه كمطور على الأقل حتى يوم الاثنين الماضي.
تعطي خدمة الوكيل من Google الأولوية للتخزين المؤقت لأسباب الأداء ، كما أوضح Socket ، وتحتفظ بحزمة وسيطة ، حتى بعد تغيير المصدر الأصلي. استخدم Cyber Creminal تقنية خطأ في الكتابة لإنشاء مستودع جديد على GitHub (BoltDB-GO/Bolt) مع عنوان URL الذي قام بتنظيف الأصل ، A (BoltDB/Bolt).
تحتوي الوحدة الخبيثة على حمل حماية الباب الخلفي ، والتي تمكنت من الجهات الفاعلة التهديد من خلال خادم أمر خارجي ومراقبة. بعد استدعاء الوحدة النمطية من مرآة وحدة Google's GO ، قام المجرم الإلكتروني بتعديل مستودع GitHub من خلال إعادة الحزمة إلى نسخة نظيفة. هذا جعل من الممكن أن يظل الباب الخلفي دون أن يلاحظه أحد ، بينما كانت تختبئ على خادم الوكيل لسنوات.
تم تطوير الباب الخلفي لإنشاء عنوان IP ومنفذ مخفي تم فحص خادم C2 من أجله للحصول على مزيد من الطلبات والأوامر. ينتمي عنوان IP إلى شركة Hetzner Online المستضافة ، وهو مزود للبنية التحتية الشرعية والجديرة بالثقة ، والذي يوفر للبرامج الضارة مستوى إضافيًا من “الخفاء”.
أوضح Socket أن هذا الباب الخلفي الخاص ، على عكس العمليات الخبيثة “اللامعين” ، يزيد من احتمال حدوث هجمات ناجحة ولا يزال غير مكتشف لأطول فترة ممكنة. كانت الشركة أيضًا مقاومة من Google في جهودها لجعل الحزمة الخبيثة في وضع عدم الاتصال.
طلبت شركة الأمن في البداية من مديري الوكيل إزالة وحدة Backdoor الأسبوع الماضي ، لكن المشكلة ظلت دون حل. بعد متابعة هذا الأسبوع ، عالج Go Modul Mirt من Google أخيرًا المشكلة قبل بضعة أيام.
