Easyjson
A Hunted Labs jelentése szerint az easyjson nevű nyílt forráskódú Go-könyvtár, amelyet széles körben használnak az Egyesült Államok kormányzati rendszereiben és a Fortune 500-as vállalatoknál, a Cloud Native Computing Foundation projektjeinek sarokköveként szolgál, potenciális nemzetbiztonsági kockázatot jelenthet. A kutatók megállapították, hogy az easyjson teljes mértékben orosz fejlesztők által karbantartott projekt, akik a VK Group (korábban Mail.ru) alkalmazásában állnak. A VK Group orosz állami tulajdonban van, és vezetője, Vlagyimir Kirijenko, aki egy magas rangú orosz tisztviselő fia, amerikai és európai uniós szankciók alatt áll.
Az easyjson kulcsfontosságú komponens számos modern szoftverellátási láncban és felhőalapú eszközben, beleértve a Kubernetes, Helm és Istio projekteket is. Ezek az eszközök alapvetőek a felhőalapú infrastruktúrák működéséhez, és az easyjson mélyen integrálódott ezekbe a rendszerekbe. Bár a Hunted Labs nem talált közvetlen bizonyítékot rosszindulatú kódra az easyjson jelenlegi verziójában, aggodalmukat fejezték ki a projekt orosz kontrollja miatt, különösen az orosz állam által támogatott kibertámadások története fényében.
A jelentés szerint az easyjson potenciálisan kihasználható lehet ellátási lánc támadásokhoz, távoli kódfuttatáshoz, kémkedéshez és adatlopáshoz, valamint akár egy “kill switch” aktiválásához is. A Hunted Labs hangsúlyozza, hogy az ilyen mélyen integrált és alapértelmezetten megbízható komponensek kompromittálása különösen veszélyes lehet, mivel nehéz őket észlelni és eltávolítani.
A kutatók javasolják, hogy a nyílt forráskódú közösség, az ipar és a kormányzat együttműködésével keressenek biztonságosabb alternatívákat az easyjson helyettesítésére. Ez magában foglalhatja az easyjson forkolását és saját karbantartását, más JSON-sorosító eszközökre való áttérést, vagy egy új, átláthatóbb és szélesebb körben karbantartott verzió létrehozását.
