使用 GO 语言开发时导入依赖要注意供应链攻击了

2021-03-08 14:29:27 +08:00
 whwlsfb

https://www.solidot.org/story?sid=67135

3151 次点击
所在节点    程序员
9 条回复
liuxu
2021-03-08 14:50:45 +08:00
"攻击者利用这种输入错误",感情就是写错包,写成了别人的包了
dreampuf
2021-03-08 14:52:02 +08:00
永远不缺李逵李鬼
github.com/utfave/cli ⚠️
github.com/urfave/cli

github.com/siruspen/logrus ⚠️
github.com/sirupsen/logrus/

其中 github.com/urfave/cli 会采集信息并发送到某云,并且存在后门的可能。我想看看怎么实现的后门,可惜已经被删除。刚想利用社工通过 https://sourcegraph.com/github.com/utfave/cli 看看缓存数据,第一次还能看到提交历史,一刷新,就 not found ……
janxin
2021-03-08 14:53:16 +08:00
正常的,其他很多带包管理的供应链侧攻击都是这么进行的
siteshen
2021-03-08 15:10:47 +08:00
@dreampuf 这篇博客里有写怎么收集系统信息,但没有写后门相关的内容。
https://michenriksen.com/blog/finding-evil-go-packages/
https://michenriksen.com/assets/images/pkgtwist/utfave_cli.png
Chenamy2017
2021-03-08 15:25:42 +08:00
学到了,厉害
knightdf
2021-03-08 17:11:37 +08:00
这种原来 python 上就被玩了好多了,还有抢注包名的
ji39
2021-03-08 17:11:58 +08:00
有意思,学习了
yeqizhang
2021-03-08 17:48:05 +08:00
学到了。这两天刚刚交叉编译了个 go 的工具,我写 java 的...
hronro
2021-03-08 20:10:22 +08:00
除了写错包名,攻击者去接手没人维护但又被广泛使用的包才更可怕的,之前 NPM 上就出现过类似的攻击。
所以这么看,Deno 的包管理机制 + 权限限制真的是很有必要的

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/759609

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX