恶意 Go 包利用模块镜像缓存实现持久远程访问

网络安全研究人员近日发现了一起针对Go生态系统的恶意软件供应链攻击 ，攻击者通过一个恶意包 ，包利能够在受感染的用模系统中实现远程访问 。

恶意包的块镜伪装与传播

根据Socket的分析，这个名为github.com/boltdb-go/bolt的像缓现持恶意包是对合法BoltDB数据库模块（github.com/boltdb/bolt）的亿华云“拼写错误劫持”（typosquat）。恶意版本（1.3.1）于2021年11月发布到GitHub，存实程访随后被Go Module Mirror服务无限期缓存。久远

安全研究员Kirill Boychenko在分析中指出：“一旦安装，恶意这个被植入后门的包利包会授予攻击者对受感染系统的远程访问权限 ，使其能够执行任意命令
。用模”Socket表示，块镜这是高防服务器像缓现持恶意行为者滥用Go Module Mirror无限期缓存模块功能的最早案例之一 ，目的存实程访是诱使用户下载恶意包。

攻击者的久远欺骗手段

为了掩盖恶意行为，攻击者随后修改了源代码库中的恶意Git标签 ，将其重定向到良性版本 。服务器租用这种欺骗手段确保了手动审查GitHub仓库时不会发现任何恶意内容 ，而缓存机制则意味着使用Go CLI安装该包的开发者会继续下载被植入后门的版本。

Boychenko解释道
：“一旦模块版本被缓存 ，它就可以通过Go Module Proxy访问  ，即使原始源代码后来被修改。虽然这种设计对合法用例有益，但攻击者利用它来持续分发恶意代码，尽管仓库后续发生了变化。源码下载”

安全建议与相关案例

Boychenko提醒道：“不可变模块既提供了安全优势 ，也可能成为滥用的途径。开发者和安全团队应监控那些利用缓存模块版本来逃避检测的攻击。”

与此同时，Cycode详细披露了三个恶意npm包——serve-static-corell、openssl-node和next-refresh-token。这些包包含混淆代码，用于收集系统元数据并执行远程服务器（“8.152.163[.]60”）在受感染主机上发出的建站模板任意命令。

通过以上分析可以看出 ，软件供应链攻击正变得越来越复杂
，开发者和安全团队需要更加警惕，尤其是在使用第三方依赖时，应加强审查和监控 ，以防止类似攻击的发生 。

模板下载