Cyberkriminelle nutzen einbuchstabige Go-Module-Typosquatting für DNS-Backdoors

Ein scheinbar harmloser Tippfehler im Namen eines Go-Moduls hat seit fast drei Jahren unauffällig eine Live-Backdoor bereitgestellt. Sicherheitsforscher haben eine bösartige Paket namens `github.com/shopsprint/decimal` e Ein scheinbar harmloser Tippfehler im Namen eines Go-Moduls hat seit fast drei Jahren unauffällig eine Live-Backdoor bereitgestellt.

Sicherheitsforscher haben eine bösartige Paket namens `github.com/shopsprint/decimal` entdeckt, das die beliebte Bibliothek `github.com/shopspring/decimal` imitiert und sich nur durch einen einzigen Buchstaben im Namen unterscheidet.

Das Paket wurde 2017 veröffentlicht, wurde jedoch im August 2023 missbraucht, als Angreifer eine versteckte Funktion einfügten, die einen verdeckten Command-and-Control-Kanal über DNS-Einträge eröffnet. Der Angriff richtet sich gegen Go-Entwickler, die an Finanzsoftware, Abrechnungssystemen, Kryptowährungsplattformen und Analysetools arbeiten.

Diese Entwickler verlassen sich auf die legitime `shopspring/decimal`-Bibliothek für präzise arithmetische Berechnungen ohne Rundungsfehler. Das gefälschte Paket spiegelt das Original so genau wider, dass jedes Projekt, das es importiert, normal kompiliert und ausgeführt wird, ohne sichtbare Fehler oder ungewöhnliche Ausgaben, die Verdacht erregen könnten.

Forscher, die ihre Erkenntnisse in einem Bericht bei