一项正在进行的攻击活动已渗透到Go生态系统中，涉及至少七个域名仿冒软件包，这些软件包安装了主要针对金融领域Linux和macOS系统的隐藏加载器恶意软件。

　　Socket研究人员在3月4日的博客文章中提到，这些软件包共享重复的恶意文件名和一致的混淆技术，这表明存在一个能够快速转换的协调威胁行为者。

　　“鉴于威胁行为者已证明具备上传恶意软件包的能力，我们有充分理由怀疑，类似的战术、技术和程序将继续渗透到Go生态系统中，”Socket研究人员写道，“开发人员应保持警惕，采用实时扫描工具、代码审计和细致的依赖项管理，以防范域名仿冒和混淆的恶意有效载荷。”SlashNext电子邮件安全领域的首席技术官Stephen Kowski解释说，这些复杂的攻击通过域名仿冒（即创建与合法软件包名称非常相似的软件包）针对金融领域的开发人员，这些恶意代码在故意延迟后执行，会导致大规模数据失窃。

　　“随着macOS在企业环境中的采用率不断上升，针对苹果系统的恶意软件攻击在最近几个季度激增了101%，macOS越来越成为威胁行为者的目标，”Kowski说，“这一趋势反映出攻击者的战略转变，他们意识到macOS用户通常在组织内担任特权职位，如开发人员和高管，这使得他们成为凭证盗窃和系统攻击的高价值目标。”Kowski表示，组织应部署自动化扫描工具，在安装前检测域名仿冒的软件包，通过哈希验证验证软件包完整性，并部署实时行为监控，以便即使在恶意软件使用延迟执行策略时也能捕获可疑活动。

　　Checkmarx安全研究小组经理Eugene Rojavski表示，最近检测到的针对Go模块的攻击数量一直在上升。就在一个月前，攻击者利用Go模块缓存方式耍了个花招，成功传播了一个被篡改的热门boltbd软件包的域名仿冒版本。

　　Rojavski说，域名仿冒对Go语言和其他语言一样有效。尽管Go模块不像PyPI或npm那样存储在包存储库中，而是位于GitHub上，但攻击者仍然可以创建具有域名仿冒名称的GitHub存储库，并向go.pkg.dev中注入恶意软件。

　　“说这场攻击活动因某个用于加载恶意软件阶段的域名相似而针对金融领域，听起来有点牵强，”Rojavski说，“通常，除非某些软件包被某家公司大量使用，否则域名仿冒是针对勒索用户的广泛攻击。通过恶意软件包传播的恶意软件变得越来越复杂，分阶段传播、混淆并躲避检测。”

　　Black Duck网络和安全红队实践主管兼首席顾问Thomas Richards补充说，这种域名仿冒攻击并非新的攻击途径。然而，Richards表示，这仍然凸显了在将模块集成到源代码之前管理软件风险和验证模块合法性的重要性。“通常，通过在添加到中央存储库之前对软件包进行签名来验证其真实性，”Richards说，“应立即检查使用Go开发的任何应用程序，以确保其中不存在恶意软件包，且系统未被破坏。”