【安全资讯】研究人员揭露三年未被发现的Go供应链攻击

概要：

网络安全研究人员揭示了一起持续三年的供应链攻击事件，涉及一个伪装成合法Go编程语言包的后门，影响了数千个组织。该攻击利用了流行的拼写欺骗技术，导致开发者在不知情的情况下下载了恶意版本，进而可能导致远程代码执行。

主要内容：

安全研究员Kirill Boychenko在Socket Security的博客中指出，BoltDB数据库模块的恶意副本在过去三年中未被发现。BoltDB是一个被超过8000个其他包和多个大型组织（如Shopify和Heroku）依赖的合法包。该恶意版本通过拼写欺骗手法，试图诱使开发者下载。开发者如果混淆了合法包与恶意包，可能会在其项目中引入后门，导致远程代码执行。

Boychenko表示，尽管该恶意版本仍可在Go Module Proxy上搜索到，但只有两个项目导入了该版本，且均来自一个只有七个关注者的加密货币项目。Go并不追踪包的下载次数，因此无法确定该包被下载的具体次数。该事件揭示了Go包系统的一个漏洞，开发者需要对此有更深刻的理解。

他指出，Go的不可变模块虽然提供了安全优势，但也可能被恶意行为者利用。攻击者通过修改项目的Git标签，使其指向合法版本，从而在手动审查时不会暴露任何恶意迹象。Boychenko强调，开发者在安装包之前应验证包的完整性，分析依赖项的异常，并使用安全工具深入检查已安装的代码，以抵御供应链威胁。