🔥 この記事の詳細
2026-05-21 更新
C
月内に

Go言語のライブラリにおいて、正規の「shopspring/decimal」に似せたタイポスクワッティング攻撃による悪意あるパッケージ「shopsprint/d…

事案🌐 英語ソース
📅 2026-05-21📰 freebuf
📌 一言でいうと
Go言語のライブラリにおいて、正規の「shopspring/decimal」に似せたタイポスクワッティング攻撃による悪意あるパッケージ「shopsprint/decimal」が発見されました。このパッケージのv1.3.3以降には、DNS TXTレコードを利用してC2サーバーからコマンドを受信するバックドアが仕込まれています。Goのモジュールプロキシにキャッシュされているため、GitHub上のリポジトリが削除されても依然として感染のリスクがあります。
🔍該当判定
  • 自社でGo言語(Golang)を用いてシステム開発を行っている
  • 開発プロジェクトのソースコード内で「github.com/shopsprint/decimal」をインポートしている
  • 金融系・決済系・分析ツールなどの開発で、数値計算ライブラリ(decimal)を利用している
  • 2023年8月以降に、Go言語の外部ライブラリを新しく導入または更新した
上記いずれにも該当しない → 静観でOK
該当時の対応
1. プロジェクトの go.mod および go.sum ファイルを確認し、'shopsprint/decimal' が含まれていないか点検すること。2. 依存関係の導入時にパッケージ名のスペルを厳格に確認すること。3. 外部への不審なDNSクエリ(特にTXTレコードの頻繁な要求)を監視すること。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Go言語ライブラリにおけるタイポスクワッティング攻撃への注意喚起

お疲れさまです。Go言語の外部ライブラリを利用したサプライチェーン攻撃に関する情報共有です。

■ 概要
正規のライブラリ「github.com/shopspring/decimal」に酷似した悪意あるパッケージ「github.com/shopsprint/decimal」が配布されています。このパッケージを導入すると、init()関数を通じてDNS TXTレコードを利用したC2通信が開始され、リモートからOSコマンドを実行される恐れがあります。

■ 影響範囲
- Go言語を用いて開発を行っているプロジェクト
- 特に金融・計数系ライブラリとして上記パッケージを誤導入した環境

■ 対応手順
1. 依存関係リスト(go.mod)を確認し、'shopsprint' (末尾がt) というスペルミスがないか確認してください。
2. 誤って導入していた場合は、直ちに正規の 'shopspring' (末尾がg) へ修正し、ビルドし直してください。
3. 感染が疑われる場合は、当該マシンから外部への不審なDNS通信が発生していないかログを確認してください。

■ 参考情報
- Socket.dev / Cyber Security News 報告

対応優先度: 高
対応期限: 速やかに確認
Subject: [Alert] Typosquatting Attack targeting Go Language Libraries

Dear IT/Security Team,

We are sharing information regarding a supply chain attack targeting Go developers via typosquatting.

■ Overview
A malicious package 'github.com/shopsprint/decimal' has been identified, impersonating the legitimate 'github.com/shopspring/decimal' library. The malicious version (v1.3.3+) implements a backdoor via the init() function, using DNS TXT records as a covert C2 channel to execute remote OS commands.

■ Scope
- Projects utilizing Go language dependencies.
- Specifically, those that may have accidentally imported the 'shopsprint' package instead of 'shopspring'.

■ Mitigation Steps
1. Audit 'go.mod' and 'go.sum' files for the presence of 'shopsprint/decimal'.
2. If found, immediately replace it with the correct 'shopspring/decimal' library and rebuild the application.
3. Monitor network logs for unusual DNS TXT record requests originating from development or production environments.

■ Reference
- Socket.dev / Cyber Security News reports

Priority: High
Deadline: Immediate review
🔗 元の記事を読む
← トップへ戻る🗓 2026-05-21 のまとめ🔍 記事を検索