Go Packages Impersonano la Libreria UUID di Google per Rubare Dati Sensibili

Un pericolo nascosto si annida nell’ecosistema di programmazione Go da oltre quattro anni. I ricercatori di sicurezza del team di ricerca di Socket hanno scoperto due pacchetti software che impersonano strumenti popolari di Google. Questi pacchetti contraffatti, progettati per ingannare gli sviluppatori impegnati, stanno rubando dati in silenzio dal maggio 2021.

I pacchetti sono stati identificati come github.com/bpoorman/uuid e github.com/bpoorman/uid. Sono progettati per sembrare quasi identici alle legittime e ampiamente utilizzate librerie pborman e Google UUID. Queste librerie reali sono lo standard di settore per la generazione di identificatori univoci per le righe del database, le sessioni utente e la tracciabilità dei lavori. L’attaccante ha utilizzato una tecnica chiamata “typosquatting”, scegliendo un nome visualmente simile a “pborman” (un legittimo manutentore), nella speranza che gli sviluppatori digitassero il nome in modo errato o non notassero la differenza in una lunga lista di dipendenze.

I pacchetti,generano identificatori univoci come la versione reale. Tuttavia, il codice contraffatto contiene una backdoor segreta. Il codice maligno include una funzione di aiuto denominata Valid, che invece di controllare se un ID è formattato correttamente, cripta le informazioni sensibili e le invia a dpaste.com, un sito web di condivisione di testi pubblici, utilizzando un token API hardcoded. Gli sviluppatori sono fortemente consigliati di controllare i propri progetti e assicurarsi di utilizzare github.com/google/uuid o github.com/pborman/uuid, e non i pacchetti “bpoorman”.