调查 Go 生态系统中的供应链攻击

安全
WinterIsComing (31822)发表于 2021年03月08日 13时06分 星期一
来自部门
依赖混淆供应链攻击最近引发了很多关注,在 Go 生态系统中,依赖混淆问题基本上不存在,原因是它明确指定了要导入的包。但 Go 并不能免于供应链攻击,因为你在导入外部的软件包时可能会犯下输入错误的问题,而如果攻击者利用这种输入错误,那么你仍然可能会不小心在软件中整合了恶意的包。有开发者调查了 Go 生态系统中的这种错误输入供应链攻击,发现了多个流行库的名字相似的可疑软件包。其中之一会访问属于腾讯的 IP 地址,将收集到的系统信息作为 URL 参数以 HTTP 形式发送过去。