摘要：威胁行为者通过“typosquatting”手段，冒充热点Go库（如Hypert和Layout）在Linux和macOS系统上传播恶意软件。

威胁行为者通过“typosquatting”手段，冒充热点Go库（如Hypert和Layout）在Linux和macOS系统上传播恶意软件。

图片来源：Tero Vesalainen / Shutterstock

在一次新的“typosquatting”（域名抢注）攻击中，威胁行为者被发现利用恶意Go软件包冒充热门软件库，在不知情的Linux和macOS系统上安装恶意软件。供应链网络安全平台Socket的研究人员发现了七个假冒广泛使用的Go库（如Hypert和Layout）的软件包，以欺骗开发者。

Socket 研究团队在技术博客中指出：“这些恶意包不仅使用重复的恶意文件名，还采用统一的代码混淆技术，显示背后存在一个能够快速响应的有组织攻击团伙。”

typosquatting是攻击者利用拼写相似性，创建与合法软件包名称高度近似恶意版本的一种攻击技术。当开发者因输入错误或疏忽下载这些恶意包时，攻击者即可借机实施远程代码执行（RCE）、敏感信息窃取等攻击行为。

目前，Socket 已向 Go Module Mirror 提交恶意包移除申请，并对关联的 GitHub 仓库和用户账号进行风险标记。

据发现，攻击者克隆了开发者用于测试HTTP API客户端的“hypert”库，并发布了四个嵌入远程代码执行功能的假版本。

涉及的“typosquatting”克隆包包括：

github.com/shallowmulti/hypert

github.com/shadowybulk/hypert

github.com/belatedplanet/hypert

github.com/thankfulmai/hypert

其中一个特别的软件包“—–shallowmulti/hypert”执行shell命令，从与合法银行域名alturacu.com相似的拼写错误变体（alturastreet[.]icu）下载并运行恶意脚本。

此外，还发现了三个假冒合法“layout”库的克隆包：

github.com/vainreboot/layout

github.com/ornatedoctrin/layout

github.com/utilizedsun/layout

这些软件包执行隐藏的shell命令，下载并运行恶意脚本，然后在Linux和macOS系统上获取并执行最终的ELF恶意软件。

研究人员补充说，重复使用相同的文件名、基于数组的字符串混淆和延迟执行策略，强烈表明这是一次有组织的攻击，威胁行为者试图确保持久性并不断调整策略。多个恶意Hypert和Layout软件包的存在，以及多个备用域名的使用，进一步表明攻击者具备弹性的基础设施，能够快速适应变化，即使某个域名或仓库被列入黑名单或关闭，也能确保持续操作。

研究人员指出：“鉴于威胁行为者已展示出上传恶意软件包的能力，有充分理由怀疑类似的战术、技术和程序（TTP）将继续渗透到Go生态系统中。”

开发者可以采取的一些应对措施包括使用实时扫描工具、进行代码审计以及针对“typosquatting”尝试进行仔细的依赖管理。

来源：FreeBuf