ماژول مخرب Go در کمین رمزهای عبور؛ جعل کتابخانه crypto برای نصب بک‌دور لینوکسی

کمیته رکن چهارم – پژوهشگران امنیتی یک ماژول مخرب Go را شناسایی کرده‌اند که با جعل کتابخانه معتبر golang.org/x/crypto اقدام به سرقت رمزهای عبور ترمینال، ایجاد دسترسی پایدار از طریق SSH و نصب بک‌دور لینوکسی Rekoobe می‌کند؛ نمونه‌ای جدی از حمله به زنجیره تأمین نرم‌افزار.

به گزارش کمیته رکن چهارم، ماژول جعلی با نام github.com/xinfeisoft/crypto منتشر شده و تلاش می‌کند خود را مشابه کتابخانه رسمی golang.org/x/crypto نشان دهد. در حالی که منبع اصلی این پروژه در go.googlesource.com/crypto قرار دارد و GitHub صرفاً mirror آن است، مهاجم از این تفاوت برای طبیعی جلوه دادن وابستگی مخرب در گراف dependency استفاده کرده است؛ روشی که به‌عنوان namespace confusion یا dependency impersonation شناخته می‌شود.

بررسی‌ها نشان می‌دهد کد مخرب در فایل ssh/terminal/terminal.go و مشخصاً در تابع ReadPassword() تزریق شده است؛ تابعی که معمولاً برای دریافت رمز عبور بدون نمایش در ترمینال استفاده می‌شود. نسخه آلوده هر رمز واردشده را جمع‌آوری کرده، به یک سرور خارجی ارسال می‌کند و در پاسخ، اسکریپتی برای اجرا دریافت می‌کند. این اسکریپت با افزودن کلید SSH مهاجم به فایل authorized_keys، تغییر سیاست‌های iptables به حالت ACCEPT و دانلود payloadهای بیشتر با پسوند جعلی، زمینه دسترسی پایدار را فراهم می‌سازد.

در ادامه، یک loader کمکی و سپس بک‌دور شناخته‌شده Rekoobe روی سیستم لینوکسی نصب می‌شود. Rekoobe که از سال‌ها قبل در حملات پیشرفته مشاهده شده، قابلیت دریافت فرمان از سرور C2، اجرای reverse shell، دانلود فایل و سرقت داده را دارد. پژوهشگران اعلام کرده‌اند این بدافزار در سال‌های اخیر نیز در برخی عملیات‌های هدفمند مورد استفاده قرار گرفته است.

اهمیت این حمله در آن است که روی لایه‌ای بسیار حساس یعنی توابع احراز هویت CLI متمرکز شده و می‌تواند ابزارهایی را که برای SSH، پایگاه‌داده، Git یا ورود به سرویس‌های ابری استفاده می‌شوند در معرض خطر قرار دهد. همچنین امکان تغییر زیرساخت مخرب بدون تغییر نسخه ماژول، شناسایی را دشوارتر می‌کند.

کارشناسان توصیه می‌کنند توسعه‌دهندگان فایل‌های go.mod و go.sum را برای وابستگی‌های مشابه یا مشکوک بررسی کرده، از canonical source اطمینان حاصل کنند و از GOPROXY معتبر استفاده نمایند. بهره‌گیری از ابزارهای تحلیل زنجیره تأمین نرم‌افزار و پایش فایل authorized_keys و ارتباطات خروجی مشکوک نیز برای شناسایی آلودگی احتمالی ضروری است.

این رویداد نشان می‌دهد حملات زنجیره تأمین در اکوسیستم Go وارد مرحله جدیدی شده و کتابخانه‌های مرتبط با احراز هویت و مدیریت اعتبارنامه به اهداف اصلی مهاجمان تبدیل شده‌اند.