در تازه‌ترین اخبار امنیت سایبری، محققان حوزه امنیت هشدار داده‌اند که یک کمپین مخرب جدید، اکوسیستم زبان برنامه‌نویسی Go را هدف قرار داده است. در این حمله، مهاجمان با استفاده از تکنیک تایپواسکواتینگ (Typosquatting)، بسته‌های جعلی را منتشر کرده‌اند که می‌توانند بدافزارهایی را روی سیستم‌عامل‌های لینوکس و macOS اجرا کنند.

جزئیات حمله:

طبق گزارش جدیدی که توسط Kirill Boychenko، محقق شرکت Socket  منتشر شده، حداقل هفت بسته مخرب شناسایی شده‌اند که خود را به‌جای کتابخانه‌های معتبر Go جا زده و به‌طور خاص توسعه‌دهندگان حوزه مالی را هدف قرار داده‌اند. این بسته‌های مخرب شامل موارد زیر هستند:

• shallowmulti/hypert
• shadowybulk/hypert
• belatedplanet/hypert
• thankfulmai/hypert
• vainreboot/layout
• ornatedoctrin/layout
• utilizedsun/layout

تحلیل‌های انجام‌شده نشان می‌دهند که این بسته‌ها حاوی کدهای مخفی برای اجرای دستورات مخرب از راه دور (Remote Code Execution - RCE) هستند. روش حمله بدین صورت است که کدهای مخرب از طریق یک دستور شل مبهم‌سازی شده اجرا شده و پس از یک ساعت، اسکریپتی را از سرور راه دور ) alturastreet[.]icu( دریافت و اجرا می‌کند. این تأخیر در اجرای کد احتمالاً برای دوری از شناسایی توسط راهکارهای امنیتی طراحی شده است.

هدف نهایی مهاجمان چیست؟

هدف نهایی این حمله، نصب و اجرای یک فایل اجرایی روی سیستم قربانی است که می‌تواند داده‌ها یا اطلاعات ورود به سیستم را سرقت کند. همچنین، شواهد نشان می‌دهد که این تهدید به‌صورت هماهنگ و سازمان‌یافته اجرا شده و مهاجمان از تکنیک‌هایی مانند:

• استفاده از نام‌های فایل مشابه
• مبهم‌سازی رشته‌ها با استفاده از آرایه‌ها
• تأخیر در اجرای بدافزار برای کاهش احتمال شناسایی

بهره گرفته‌اند. همچنین، مهاجمان برای جلوگیری از مسدود شدن، چندین دامنه و مخزن جایگزین در نظر گرفته‌اند تا در صورت شناسایی و حذف یکی از منابع مخرب، همچنان بتوانند به فعالیت خود ادامه دهند.

خطر حملات زنجیره تأمین نرم‌افزار

این افشاگری تنها یک ماه پس از شناسایی یک حمله زنجیره تأمین نرم‌افزار دیگر در اکوسیستم Go صورت گرفته که در آن، یک بسته مخرب قادر به ایجاد دسترسی از راه دور برای مهاجمان بود. این نوع حملات می‌توانند تأثیرات گسترده‌ای داشته باشند، به‌ویژه در صنایعی که به نرم‌افزارهای متن‌باز وابسته‌اند.

راهکارهای امنیتی برای توسعه‌دهندگان:

✅ همیشه از منابع معتبر و رسمی مانند Golang Proxy و GitHub اصلی توسعه‌دهندگان برای دریافت کتابخانه‌ها استفاده کنید.
✅ قبل از نصب یک بسته جدید، بررسی کنید که در مخزن رسمی Go ثبت شده باشد و نظرات کاربران را مطالعه کنید.
✅ از ابزارهای امنیتی مانند Socket، Snyk و GitHub Dependabot برای شناسایی بسته‌های مخرب در پروژه‌های خود بهره بگیرید.
✅ در صورت امکان، از امضای دیجیتال برای تأیید اعتبار بسته‌ها استفاده کنید.

جمع‌بندی

افزایش حملات سایبری بر اکوسیستم‌های توسعه نرم‌افزار مانند Go نشان می‌دهد که مهاجمان به‌طور مستمر روش‌های خود را بهبود می‌بخشند. شناسایی این بسته‌های مخرب نشان‌دهنده یک زیرساخت پیچیده و پایدار است که مهاجمان برای مقاومت در برابر مسدودسازی و حذف طراحی کرده‌اند.

برای به‌روز ماندن در اخبار امنیت شبکه و شناسایی تهدیدهای جدید، حتماً از منابع معتبر استفاده کرده و اقدامات امنیتی مناسبی را در فرآیند توسعه نرم‌افزارهای خود پیاده‌سازی کنید.