在一次新的“typosquatting”（域名搶注）攻擊中，威脅行為者被發現利用惡意Go軟件包冒充熱門軟件庫，在不知情的Linux和macOS系統上安裝惡意軟件。供應鏈網絡安全平臺Socket的研究人員發現了七個假冒廣泛使用的Go庫（如Hypert和Layout）的軟件包，以欺騙開發者。

Socket研究人員在一篇博客文章中提到：“這些軟件包使用了重復的惡意文件名和一致的混淆技術，表明威脅行為者具備快速調整攻擊策略的能力。”“typosquatting”是一種攻擊技術，攻擊者通過創建與合法網站、域名或軟件包名稱非常相似的惡意內容，利用用戶常見的拼寫錯誤或輕微變體，誘騙用戶下載惡意軟件、泄露敏感信息或安裝有害程序。博客補充說，已從Go Module Mirror請求刪除這些惡意軟件包，并將其關聯的Github倉庫和用戶賬戶標記為可疑。

利用Hypert和Layout實施遠程代碼執行等攻擊

據發現，攻擊者克隆了開發者用于測試HTTP API客戶端的“hypert”庫，并發布了四個嵌入遠程代碼執行功能的假版本。涉及的“typosquatting”克隆包包括github.com/shallowmulti/hypert、github.com/shadowybulk/hypert、github.com/belatedplanet/hypert和github.com/thankfulmai/hypert。

其中一個特別的軟件包“—–shallowmulti/hypert”執行shell命令，從與合法銀行域名alturacu.com相似的拼寫錯誤變體（alturastreet[.]icu）下載并運行惡意腳本。此外，還發現了三個假冒合法“layout”庫的克隆包：github.com/vainreboot/layout、github.com/ornatedoctrin/layout和github.com/utilizedsun/layout。

這些軟件包執行隱藏的shell命令，下載并運行惡意腳本，然后在Linux和macOS系統上獲取并執行最終的ELF惡意軟件。

定制化攻擊以確保持久性

研究人員補充說，重復使用相同的文件名、基于數組的字符串混淆和延遲執行策略，強烈表明這是一次有組織的攻擊，威脅行為者試圖確保持久性并不斷調整策略。多個惡意Hypert和Layout軟件包的存在，以及多個備用域名的使用，進一步表明攻擊者具備彈性的基礎設施，能夠快速適應變化，即使某個域名或倉庫被列入黑名單或關閉，也能確保持續操作。

研究人員指出：“鑒于威脅行為者已展示出上傳惡意軟件包的能力，有充分理由懷疑類似的戰術、技術和程序（TTP）將繼續滲透到Go生態系統中。”開發者可以采取的一些應對措施包括使用實時掃描工具、進行代碼審計以及針對“typosquatting”嘗試進行仔細的依賴管理。