【Go】调查 Go 生态系统中的供应链攻击

依赖混淆供应链攻击最近引发了很多关注，在 Go 生态系统中，依赖混淆问题基本上不存在，原因是它明确指定了要导入的包。但 Go 并不能免于供应链攻击，因为你在导入外部的软件包时可能会犯下输入错误的问题，而如果攻击者利用这种输入错误，那么你仍然可能会不小心在软件中整合了恶意的包。

有开发者调查了 Go 生态系统中的这种错误输入供应链攻击，发现了多个流行库的名字相似的可疑软件包。其中之一会访问属于腾讯的 IP 地址，将收集到的系统信息作为 URL 参数以 HTTP 形式发送过去。

————————————————
版权声明：本文为CSDN博主「极客日报」的原创文章，遵循CC 4.0 BY-SA版权协议，转载请附上原文出处链接及本声明。
原文链接：https://blog.csdn.net/weixin_39786569/article/details/114576265