恶意软件伪装成合法 Go 库感染 Linux 和 macOS 用户

在一次新的恶意“typosquatting”（域名抢注）攻击中 ，威胁行为者被发现利用恶意Go软件包冒充热门软件库 ，软件在不知情的伪装Linux和macOS系统上安装恶意软件 。供应链网络安全平台Socket的成合研究人员发现了七个假冒广泛使用的Go库（如Hypert和Layout）的软件包，以欺骗开发者。感染

Socket研究人员在一篇博客文章中提到：“这些软件包使用了重复的和户恶意文件名和一致的混淆技术 ，表明威胁行为者具备快速调整攻击策略的香港云服务器恶意能力。”“typosquatting”是软件一种攻击技术
，攻击者通过创建与合法网站、伪装域名或软件包名称非常相似的成合恶意内容
，利用用户常见的感染拼写错误或轻微变体，诱骗用户下载恶意软件 、和户泄露敏感信息或安装有害程序。恶意博客补充说，软件已从Go Module Mirror请求删除这些恶意软件包，伪装并将其关联的源码下载Github仓库和用户账户标记为可疑 。

利用Hypert和Layout实施远程代码执行等攻击

据发现 ，攻击者克隆了开发者用于测试HTTP API客户端的“hypert”库
，并发布了四个嵌入远程代码执行功能的假版本 。涉及的“typosquatting”克隆包包括github.com/shallowmulti/hypert、github.com/shadowybulk/hypert 、github.com/belatedplanet/hypert和github.com/thankfulmai/hypert。

其中一个特别的软件包“—–shallowmulti/hypert”执行shell命令 ，从与合法银行域名alturacu.com相似的云计算拼写错误变体（alturastreet[.]icu）下载并运行恶意脚本 。此外，还发现了三个假冒合法“layout”库的克隆包 ：github.com/vainreboot/layout 、github.com/ornatedoctrin/layout和github.com/utilizedsun/layout。

这些软件包执行隐藏的shell命令，下载并运行恶意脚本 ，然后在Linux和macOS系统上获取并执行最终的ELF恶意软件。

定制化攻击以确保持久性

研究人员补充说 ，重复使用相同的文件名、源码库基于数组的字符串混淆和延迟执行策略
，强烈表明这是一次有组织的攻击，威胁行为者试图确保持久性并不断调整策略
。多个恶意Hypert和Layout软件包的存在  ，以及多个备用域名的使用，进一步表明攻击者具备弹性的基础设施 ，能够快速适应变化，建站模板即使某个域名或仓库被列入黑名单或关闭，也能确保持续操作。

研究人员指出
：“鉴于威胁行为者已展示出上传恶意软件包的能力，有充分理由怀疑类似的战术 、技术和程序（TTP）将继续渗透到Go生态系统中
。”开发者可以采取的一些应对措施包括使用实时扫描工具、进行代码审计以及针对“typosquatting”尝试进行仔细的依赖管理。