A supply chain attack exploited Go module mirror

Javascript မှာ package တွေ ကို npm မှာထားပြီး serve လုပ်သလိုမျိုး Go မှာ module တွေကို github မှာ အရင်သိမ်းပါတယ် ပြန် serve လုပ်ဖို့အတွက်ကို Google က proxy server တွေထားပြီးတော့မှ cache အနေနဲ့ ပြန် serve လုပ်ပါတယ် သဘောကတော့ Github ကို DDOS attack မဖြစ်အောင်ရယ် နောက် scaling နဲ့ပတ်သတ်ပြီး သူတို့ကိုယ်တိုင် manage လုပ်လို့အဆင်ပြေအောင်ရယ်ပါ အဲ့တာကို Go module mirror လို့ခေါ်ပါတယ်

ဒီရက်ပိုင်းမှာ attacker တချို့က Go module mirror ကို သုံးပြီးတော့ backdoor ပါတဲ့ package တစ်ခုကို 3 နှစ်ကျော် serve လုပ်သွားခဲ့တယ်ဆိုတာကို သိလိုက်ရပါတယ် ဖြစ်ပုံက ဒီလိုပါ boltdb-go/bolt ဆိုတဲ့ နာမည်နဲ့ backdoor ပါတဲ့ malitious file တွေကို serve လုပ်ခဲ့သွားတာဖြစ်ပါတယ်၊ boltdb/bolt ဆိုတဲ့ တကယ့် package အစား ဆင်တူယိုးမှားဖြစ်တဲ့ boltdb-go/bolt ဆိုတဲ့ နာမည်အမှားနဲ့ developer တွေ အလွယ်တကူမှားနိုင်တာမျိုးနဲ့ exploit လုပ်သွားတာဖြစ်ပါတယ်။ အဲ့ဒီလိုမျိုး စာလုံးပေါင်းအမှားတွေကို အသုံးပြုပြီး exploit လုပ်တဲ့ technique ကို Typosquatting လို့ခေါ်ပါတယ်၊ နားလည်အောင်ပြောရရင် google.com အစား letter o ကို သုံးလုံး gooogle.com လို့မှားရိုက်တာကိုစောင့်ပြီး ဝင်လာတဲ့ user ကို exploit လုပ်တာမျိုးဖြစ်ပါတယ် ဒီဖြစ်ရပ်ကို နမူနာယူပြီးတော့ ကျွန်တော်တို့ developer တွေအနေနဲ့ မိမိအသုံးပြုမယ့် third-party package တွေဟာ ဘယ်လောက်ထိ secure ဖြစ်သလဲဆိုတာမျိုး အမြဲ audit လုပ်ဖို့လိုပါတယ်၊ အခုလိုဆင်တူယိုးမှား စာလုံးပေါင်းတွေကိုလည်း အထူးဂရုစိုက်ရမှာဖြစ်ပါတယ် အသေးစိတ်အကြောင်းအရာကိုတော့ မူရင်း article မှာ သွားဖတ်လို့ရပါတယ်။

Go Module Mirror served backdoor to devs for 3+ yearsArs Technica