Go模块库面临Repojacking攻击风险

关键要点

潜在风险：超过15000个Go模块库可能遭受Repojacking攻击。暴露原因：超过9000个库因GitHub用户名变更而遭受风险，其余由于账户删除而暴露。去中心化的脆弱性：Go模块的去中心化特性使其更易受到攻击。

根据黑客新闻报道，GitHub上超过15000个Go模块库，涵盖至少800000个变体，可能受到Repojacking攻击的威胁。VulnCheck的报告显示，超过9000个库因GitHub用户名更改而面临漏洞，而剩余的库则因账户被删除而暴露。研究人员表示，Repojacking攻击对Go模块的威胁更大，主要是由于其去中心化的特性。

任何人都可以指示Go模块镜像和pkggodev缓存该模块的详细信息。攻击者可以注册一个新未使用的用户名，复制模块库，并将一个新模块发布到proxygolangorg和gopkgdev，VulnCheck首席技术官雅各布贝恩斯Jacob Baines说。他还指出，Go或GitHub应对此类Repojacking攻击问题负责。“在这之前，Go开发者必须清楚他们使用的模块以及这些模块源自的库的状态，”贝恩斯补充道。