在一次新的“typosquatting”（域名搶注）攻擊中，威脅行為者被發(fā)現(xiàn)利用惡意Go軟件包冒充熱門(mén)軟件庫(kù)，在不知情的Linux和macOS系統(tǒng)上安裝惡意軟件。供應(yīng)鏈網(wǎng)絡(luò)安全平臺(tái)Socket的研究人員發(fā)現(xiàn)了七個(gè)假冒廣泛使用的Go庫(kù)（如Hypert和Layout）的軟件包，以欺騙開(kāi)發(fā)者。

Socket研究人員在一篇博客文章中提到：“這些軟件包使用了重復(fù)的惡意文件名和一致的混淆技術(shù)，表明威脅行為者具備快速調(diào)整攻擊策略的能力。”“typosquatting”是一種攻擊技術(shù)，攻擊者通過(guò)創(chuàng)建與合法網(wǎng)站、域名或軟件包名稱(chēng)非常相似的惡意內(nèi)容，利用用戶常見(jiàn)的拼寫(xiě)錯(cuò)誤或輕微變體，誘騙用戶下載惡意軟件、泄露敏感信息或安裝有害程序。博客補(bǔ)充說(shuō)，已從Go Module Mirror請(qǐng)求刪除這些惡意軟件包，并將其關(guān)聯(lián)的Github倉(cāng)庫(kù)和用戶賬戶標(biāo)記為可疑。

利用Hypert和Layout實(shí)施遠(yuǎn)程代碼執(zhí)行等攻擊

據(jù)發(fā)現(xiàn)，攻擊者克隆了開(kāi)發(fā)者用于測(cè)試HTTP API客戶端的“hypert”庫(kù)，并發(fā)布了四個(gè)嵌入遠(yuǎn)程代碼執(zhí)行功能的假版本。涉及的“typosquatting”克隆包包括github.com/shallowmulti/hypert、github.com/shadowybulk/hypert、github.com/belatedplanet/hypert和github.com/thankfulmai/hypert。

其中一個(gè)特別的軟件包“—–shallowmulti/hypert”執(zhí)行shell命令，從與合法銀行域名alturacu.com相似的拼寫(xiě)錯(cuò)誤變體（alturastreet[.]icu）下載并運(yùn)行惡意腳本。此外，還發(fā)現(xiàn)了三個(gè)假冒合法“l(fā)ayout”庫(kù)的克隆包：github.com/vainreboot/layout、github.com/ornatedoctrin/layout和github.com/utilizedsun/layout。

這些軟件包執(zhí)行隱藏的shell命令，下載并運(yùn)行惡意腳本，然后在Linux和macOS系統(tǒng)上獲取并執(zhí)行最終的ELF惡意軟件。

定制化攻擊以確保持久性

研究人員補(bǔ)充說(shuō)，重復(fù)使用相同的文件名、基于數(shù)組的字符串混淆和延遲執(zhí)行策略，強(qiáng)烈表明這是一次有組織的攻擊，威脅行為者試圖確保持久性并不斷調(diào)整策略。多個(gè)惡意Hypert和Layout軟件包的存在，以及多個(gè)備用域名的使用，進(jìn)一步表明攻擊者具備彈性的基礎(chǔ)設(shè)施，能夠快速適應(yīng)變化，即使某個(gè)域名或倉(cāng)庫(kù)被列入黑名單或關(guān)閉，也能確保持續(xù)操作。

研究人員指出：“鑒于威脅行為者已展示出上傳惡意軟件包的能力，有充分理由懷疑類(lèi)似的戰(zhàn)術(shù)、技術(shù)和程序（TTP）將繼續(xù)滲透到Go生態(tài)系統(tǒng)中?！遍_(kāi)發(fā)者可以采取的一些應(yīng)對(duì)措施包括使用實(shí)時(shí)掃描工具、進(jìn)行代碼審計(jì)以及針對(duì)“typosquatting”嘗試進(jìn)行仔細(xì)的依賴(lài)管理。