Hunted Labs
专门追踪开源软体供应链安全性的美国资安新创Hunted Labs周一(5/5)警告,他们发现一个Go语言的开源软体套件Easyjson是由俄罗斯最大社交平台VK所开发,恐危及美国国家安全。
Hunted Labs是利用该公司所开发的Entercept平台来协助客户辨识与追踪所使用的软体是否受到国外的控制或影响,进而发现Easyjson已被部署在美国政府系统、Fortune五百大企业,以及云端原生运算基金会(Cloud Native Computing Foundation,CNCF)的许多专案中。
Easyjson是个Go语言套件,专门为优化JSON序列化及反序列化过程而设计,借由生成Go程式码来实现JSON的编码与解码,在云端原生生态系统中被广泛采用,受到许多开源与企业专案的仰赖,以于分散式系统中高性能地处理JSON,在金融与分析平台上的即时资料序列化,以及云端应用的最佳化,包括容器编排平台Kubernetes、Kubernetes套件管理工具Helm,以及开源的服务网格Istio都采用了Easyjson。
研究人员指出,如Easyjson等序列化工具是在应用程序的底层运行,它们通常是无形的,且紧密整合了系统的各个核心元件,一旦部署就很难移除与替换,一向被预设是可靠的。然而,当它们被武器化时,Easyjson即可能成为供应链的后门,可借由反序列化执行远端程式攻击,被用来执行间谍活动或窃取资料,或者是启用Kill Switch,于特定条件下触发预设的破坏性功能。
其实现阶段Easyjson最大的嫌疑来自于它是由VK所开发的,如同美国围堵华为的最大原因来自于相信它受到中国政府的掌控。
VK为俄罗斯的第二大网路公司,是当地最大的入口网站与社交平台,市占率超过6成,胜过Telegram的42%与脸书的26%,在俄罗斯科技领域的影响力仅次于搜寻引擎Yandex。VK的控股公司MF Technologies虽仅持有4.8%的VK经济权益,却拥有57.3%的VK投票权,在2021年时,与俄罗斯总统普丁(Vladimir Putin)关系密切的保险业者Sogaz、控股公司Gazprom-Media及国营技术公司Rostec相继买下了MF Technologies的所有股份,取得VK的实际控制权,同年即撤换了VK执行长。
而在俄乌战争之后,不仅是VK程式受到国际制裁,VK执行长Vladimir Kiriyenko也遭到美国、加拿大、英国、欧盟、日本与澳洲等国家的制裁。
Hunted Labs表示,VK在俄乌战争中一直借由审查或推广内容发挥著作用,删除任何对俄罗斯政府不利的言论,使得他们也对Easyjson这个由俄罗斯贡献者提交逾85%以上程式码的专案感到忧心,而该专案现在正处于美国云端原生生态系统的脐带位置。