FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

网络安全研究人员近期发现11个恶意Go软件包，这些软件包会从远程服务器下载额外载荷，并在Windows和Linux系统上执行。

恶意Go软件包运作机制

Socket安全研究员Olivia Brown表示："这些代码在运行时会静默生成shell，从可替换的.icu和.tech命令控制(C2)端点获取第二阶段载荷，并在内存中执行。"已识别的恶意软件包包括：

• github.com/stripedconsu/linker
• github.com/agitatedleopa/stm
• github.com/expertsandba/opt
• github.com/wetteepee/hcloud-ip-floater
• github.com/weightycine/replika
• github.com/ordinarymea/tnsr_ids
• github.com/ordinarymea/TNSR_IDS
• github.com/cavernouskina/mcp-go
• github.com/lastnymph/gouid
• github.com/sinfulsky/gouid
• github.com/briefinitia/gouid

这些软件包隐藏着经过混淆的加载器，能够获取第二阶段的ELF和可移植可执行(PE)二进制文件，进而收集主机信息、访问浏览器数据并向C2服务器发送信标。

Brown指出："由于第二阶段载荷会向Linux系统投递bash脚本，并通过certutil.exe获取Windows可执行文件，因此Linux构建服务器和Windows工作站都可能遭到入侵。"

Go生态系统的安全挑战

Go生态系统的去中心化特性加剧了问题复杂性——开发者可以直接从GitHub仓库导入模块。当在pkg.go.dev搜索软件包时，可能返回多个名称相似的模块，这会造成严重混淆（尽管这些模块本身未必具有恶意）。

Socket公司表示："攻击者利用这种混淆，精心设计恶意模块命名空间使其乍看可信，大大增加了开发者无意中将破坏性代码集成到项目中的可能性。"

研究人员根据C2基础设施复用和代码格式判断，这些软件包出自同一威胁行为者之手。这一发现凸显了Go语言跨平台特性带来的持续供应链风险。

恶意npm软件包同步涌现

与此同时，安全人员还发现两个伪装成WhatsApp套接字库的npm软件包（naya-flore和nvlore-hsc），它们内置基于手机号码的"终止开关"，可远程擦除开发者系统。

截至发稿时，这两个累计下载量超过1110次的软件包仍存在于npm仓库中。它们均由名为"nayflore"的用户于2025年7月初发布。

其核心功能是从GitHub仓库获取印度尼西亚手机号码远程数据库。软件包执行后首先检查当前手机是否在数据库中，若不存在，则在完成WhatsApp配对流程后递归执行"rm -rf *"命令删除所有文件。

潜在数据窃取能力

研究人员还发现这些软件包包含向外部端点外泄设备信息的功能，但相关调用已被注释，表明幕后威胁行为者可能仍在开发中。

安全研究员Kush Pandya指出："naya-flore还包含一个硬编码的GitHub个人访问令牌，可未经授权访问私有仓库。从现有代码中尚无法确定该令牌的具体用途。"

"未使用的GitHub令牌可能意味着开发未完成、计划功能未实现，或是代码库其他部分（未包含在这些软件包中）的使用需求。"

开源仓库的持续威胁

开源仓库仍是软件供应链中极具吸引力的恶意软件分发渠道。这些恶意软件包旨在窃取敏感信息，某些情况下甚至针对加密货币钱包。

Fortinet FortiGuard Labs表示："虽然整体战术没有显著演变，但攻击者持续依赖已验证的技术——如最小化文件数量、使用安装脚本、采用隐蔽的数据外泄方法以最大化影响。"

"混淆技术的持续增长进一步表明，这些服务的用户需要保持警惕并实施持续监控。随着开源软件的不断发展，供应链威胁的攻击面也将同步扩大。"

参考来源：

Malicious Go, npm Packages Deliver Cross-Platform Malware, Trigger Remote Data Wipes

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）