使用 GO 语言开发时导入依赖要注意供应链攻击了

• 資深大佬 : liuxu

  “攻击者利用这种输入错误”，感情就是写错包，写成了别人的包了

• 資深大佬 : dreampuf

  永远不缺李逵李鬼
  github.com/utfave/cli ⚠️
  github.com/urfave/cli

  github.com/siruspen/logrus ⚠️
  github.com/sirupsen/logrus/

  其中 github.com/urfave/cli 会采集信息并发送到某云，并且存在后门的可能。我想看看怎么实现的后门，可惜已经被删除。刚想利用社工通过 https://sourcegraph.com/github.com/utfave/cli 看看缓存数据，第一次还能看到提交历史，一刷新，就 not found ……

• 資深大佬 : janxin

  正常的，其他很多带包管理的供应链侧攻击都是这么进行的

• 資深大佬 : siteshen

  @dreampuf 这篇博客里有写怎么收集系统信息，但没有写后门相关的内容。
  https://michenriksen.com/blog/finding-evil-go-packages/
  https://michenriksen.com/assets/images/pkgtwist/utfave_cli.png

• 資深大佬 : Chenamy2017

  学到了，厉害

• 資深大佬 : knightdf

  这种原来 python 上就被玩了好多了，还有抢注包名的

• 資深大佬 : ji39

  有意思，学习了

• 資深大佬 : yeqizhang

  学到了。这两天刚刚交叉编译了个 go 的工具，我写 java 的…

• 資深大佬 : hronro

  除了写错包名，攻击者去接手没人维护但又被广泛使用的包才更可怕的，之前 NPM 上就出现过类似的攻击。
  所以这么看，Deno 的包管理机制 + 权限限制真的是很有必要的