使用 GO 语言开发时导入依赖要注意供应链攻击了 - V2EX

Home Sign Up Sign In

• 请不要在回答技术问题时复制粘贴 AI 生成的内容

This topic created in 1918 days ago, the information mentioned may be changed or developed.

https://www.solidot.org/story?sid=67135

9 replies • 2021-03-08 20:10:22 +08:00

1

liuxu

Mar 8, 2021

"攻击者利用这种输入错误"，感情就是写错包，写成了别人的包了

2

dreampuf

Mar 8, 2021

1

永远不缺李逵李鬼
github.com/utfave/cli ⚠️
github.com/urfave/cli

github.com/siruspen/logrus ⚠️
github.com/sirupsen/logrus/

其中 github.com/urfave/cli 会采集信息并发送到某云，并且存在后门的可能。我想看看怎么实现的后门，可惜已经被删除。刚想利用社工通过 https://sourcegraph.com/github.com/utfave/cli 看看缓存数据，第一次还能看到提交历史，一刷新，就 not found ……

3

janxin

Mar 8, 2021

正常的，其他很多带包管理的供应链侧攻击都是这么进行的

4

siteshen

Mar 8, 2021

1

@dreampuf 这篇博客里有写怎么收集系统信息，但没有写后门相关的内容。
https://michenriksen.com/blog/finding-evil-go-packages/
https://michenriksen.com/assets/images/pkgtwist/utfave_cli.png

5

Chenamy2017

Mar 8, 2021

学到了，厉害

6

knightdf

Mar 8, 2021

这种原来 python 上就被玩了好多了，还有抢注包名的

7

ji39

Mar 8, 2021

有意思，学习了

8

yungo8

Mar 8, 2021

学到了。这两天刚刚交叉编译了个 go 的工具，我写 java 的...

9

hronro

Mar 8, 2021

除了写错包名，攻击者去接手没人维护但又被广泛使用的包才更可怕的，之前 NPM 上就出现过类似的攻击。
所以这么看，Deno 的包管理机制 + 权限限制真的是很有必要的

About · Help · Advertise · Blog · API · FAQ · Solana · 5509 Online Highest 6679 ·

Select Language

创意工作者们的社区

World is powered by solitude

VERSION: 3.9.8.5 · 55ms · UTC 08:47 · PVG 16:47 · LAX 01:47 · JFK 04:47
♥ Do have faith in what you're doing.