ค้นพบช่องทางการโจมตีผ่านแพ็กเกจ Go ที่ถูกซ่อนอยู่เป็นเวลาหลายปี ทีมวิจัยจาก Socket Inc. พบว่ามีการใช้บริการ proxy.golang.orgของ Google ในการทำให้ซอฟต์แวร์โอเพนซอร์สที่แท้จริงกลายเป็นซอฟต์แวร์ที่เป็นอันตราย
เรื่องนี้เริ่มต้นจากการที่กลุ่มอาชญากรไซเบอร์สร้างที่เก็บใหม่ใน GitHub โดยใช้ชื่อที่ใกล้เคียงกับที่เก็บเดิมของแพ็กเกจ Go ที่ชื่อว่า boltdb ทำให้ผู้พัฒนาที่ต้องการใช้แพ็กเกจนี้ได้ดาวน์โหลดเวอร์ชันที่มีมัลแวร์แฝงอยู่ แพ็กเกจนี้มีรหัสที่ถูกตั้งค่าให้สร้างที่อยู่ IP และพอร์ตที่ซ่อนอยู่เพื่อเชื่อมต่อกับเซิร์ฟเวอร์ควบคุมภายนอก (C2 server)
ที่สำคัญคือแพ็กเกจที่ติดมัลแวร์นี้สามารถหลบซ่อนอยู่ในบริการ proxy ของ Google โดยไม่ถูกตรวจจับ เนื่องจากการใช้เทคนิคที่เรียกว่า typosquatting ที่ทำให้ URL ของที่เก็บใหม่ดูเหมือนกับที่เก็บเดิม
การค้นพบนี้เกิดขึ้นเมื่อไม่นานมานี้ และทีมวิจัยได้พยายามแจ้งให้ Google ลบแพ็กเกจที่ติดมัลแวร์ออกจากระบบ แต่ต้องใช้เวลาหลายวันกว่าที่ Google จะดำเนินการ
https://www.techspot.com/news/106687-hidden-backdoor-go-package-remained-undetected-years.html
เรื่องนี้เริ่มต้นจากการที่กลุ่มอาชญากรไซเบอร์สร้างที่เก็บใหม่ใน GitHub โดยใช้ชื่อที่ใกล้เคียงกับที่เก็บเดิมของแพ็กเกจ Go ที่ชื่อว่า boltdb ทำให้ผู้พัฒนาที่ต้องการใช้แพ็กเกจนี้ได้ดาวน์โหลดเวอร์ชันที่มีมัลแวร์แฝงอยู่ แพ็กเกจนี้มีรหัสที่ถูกตั้งค่าให้สร้างที่อยู่ IP และพอร์ตที่ซ่อนอยู่เพื่อเชื่อมต่อกับเซิร์ฟเวอร์ควบคุมภายนอก (C2 server)
ที่สำคัญคือแพ็กเกจที่ติดมัลแวร์นี้สามารถหลบซ่อนอยู่ในบริการ proxy ของ Google โดยไม่ถูกตรวจจับ เนื่องจากการใช้เทคนิคที่เรียกว่า typosquatting ที่ทำให้ URL ของที่เก็บใหม่ดูเหมือนกับที่เก็บเดิม
การค้นพบนี้เกิดขึ้นเมื่อไม่นานมานี้ และทีมวิจัยได้พยายามแจ้งให้ Google ลบแพ็กเกจที่ติดมัลแวร์ออกจากระบบ แต่ต้องใช้เวลาหลายวันกว่าที่ Google จะดำเนินการ
https://www.techspot.com/news/106687-hidden-backdoor-go-package-remained-undetected-years.html
ค้นพบช่องทางการโจมตีผ่านแพ็กเกจ Go ที่ถูกซ่อนอยู่เป็นเวลาหลายปี ทีมวิจัยจาก Socket Inc. พบว่ามีการใช้บริการ proxy.golang.orgของ Google ในการทำให้ซอฟต์แวร์โอเพนซอร์สที่แท้จริงกลายเป็นซอฟต์แวร์ที่เป็นอันตราย
เรื่องนี้เริ่มต้นจากการที่กลุ่มอาชญากรไซเบอร์สร้างที่เก็บใหม่ใน GitHub โดยใช้ชื่อที่ใกล้เคียงกับที่เก็บเดิมของแพ็กเกจ Go ที่ชื่อว่า boltdb ทำให้ผู้พัฒนาที่ต้องการใช้แพ็กเกจนี้ได้ดาวน์โหลดเวอร์ชันที่มีมัลแวร์แฝงอยู่ แพ็กเกจนี้มีรหัสที่ถูกตั้งค่าให้สร้างที่อยู่ IP และพอร์ตที่ซ่อนอยู่เพื่อเชื่อมต่อกับเซิร์ฟเวอร์ควบคุมภายนอก (C2 server)
ที่สำคัญคือแพ็กเกจที่ติดมัลแวร์นี้สามารถหลบซ่อนอยู่ในบริการ proxy ของ Google โดยไม่ถูกตรวจจับ เนื่องจากการใช้เทคนิคที่เรียกว่า typosquatting ที่ทำให้ URL ของที่เก็บใหม่ดูเหมือนกับที่เก็บเดิม
การค้นพบนี้เกิดขึ้นเมื่อไม่นานมานี้ และทีมวิจัยได้พยายามแจ้งให้ Google ลบแพ็กเกจที่ติดมัลแวร์ออกจากระบบ แต่ต้องใช้เวลาหลายวันกว่าที่ Google จะดำเนินการ
https://www.techspot.com/news/106687-hidden-backdoor-go-package-remained-undetected-years.html
0 ความคิดเห็น
0 การแบ่งปัน
41 มุมมอง
0 รีวิว
English