在一次新的“typosquatting”（域名搶注）攻擊中，威脅行為者被發(fā)現(xiàn)利用惡意Go軟件包冒充熱門軟件庫，在不知情的Linux和macOS系統(tǒng)上安裝惡意軟件。供應鏈網絡安全平臺Socket的研究人員發(fā)現(xiàn)了七個假冒廣泛使用的Go庫（如Hypert和Layout）的軟件包，以欺騙開發(fā)者。

Socket研究人員在一篇博客文章中提到：“這些軟件包使用了重復的惡意文件名和一致的混淆技術，表明威脅行為者具備快速調整攻擊策略的能力?！薄皌yposquatting”是一種攻擊技術，攻擊者通過創(chuàng)建與合法網站、域名或軟件包名稱非常相似的惡意內容，利用用戶常見的拼寫錯誤或輕微變體，誘騙用戶下載惡意軟件、泄露敏感信息或安裝有害程序。博客補充說，已從Go Module Mirror請求刪除這些惡意軟件包，并將其關聯(lián)的Github倉庫和用戶賬戶標記為可疑。

利用Hypert和Layout實施遠程代碼執(zhí)行等攻擊

據發(fā)現(xiàn)，攻擊者克隆了開發(fā)者用于測試HTTP API客戶端的“hypert”庫，并發(fā)布了四個嵌入遠程代碼執(zhí)行功能的假版本。涉及的“typosquatting”克隆包包括github.com/shallowmulti/hypert、github.com/shadowybulk/hypert、github.com/belatedplanet/hypert和github.com/thankfulmai/hypert。

其中一個特別的軟件包“—–shallowmulti/hypert”執(zhí)行shell命令，從與合法銀行域名alturacu.com相似的拼寫錯誤變體（alturastreet[.]icu）下載并運行惡意腳本。此外，還發(fā)現(xiàn)了三個假冒合法“l(fā)ayout”庫的克隆包：github.com/vainreboot/layout、github.com/ornatedoctrin/layout和github.com/utilizedsun/layout。

這些軟件包執(zhí)行隱藏的shell命令，下載并運行惡意腳本，然后在Linux和macOS系統(tǒng)上獲取并執(zhí)行最終的ELF惡意軟件。

定制化攻擊以確保持久性

研究人員補充說，重復使用相同的文件名、基于數(shù)組的字符串混淆和延遲執(zhí)行策略，強烈表明這是一次有組織的攻擊，威脅行為者試圖確保持久性并不斷調整策略。多個惡意Hypert和Layout軟件包的存在，以及多個備用域名的使用，進一步表明攻擊者具備彈性的基礎設施，能夠快速適應變化，即使某個域名或倉庫被列入黑名單或關閉，也能確保持續(xù)操作。

研究人員指出：“鑒于威脅行為者已展示出上傳惡意軟件包的能力，有充分理由懷疑類似的戰(zhàn)術、技術和程序（TTP）將繼續(xù)滲透到Go生態(tài)系統(tǒng)中?！遍_發(fā)者可以采取的一些應對措施包括使用實時掃描工具、進行代碼審計以及針對“typosquatting”嘗試進行仔細的依賴管理。