C
月内に
Go言語の算術ライブラリ「github.com/shopspring/decimal」を模したタイポスクワッティング(スペルミス)パッケージ「github.co…
📌 一言でいうと
Go言語の算術ライブラリ「github.com/shopspring/decimal」を模したタイポスクワッティング(スペルミス)パッケージ「github.com/shopsprint/decimal」にバックドアが発見されました。この悪意あるモジュールは、DNS TXTレコードを介してコマンドを受信し、任意のコードを実行させる仕組みとなっていました。攻撃者は約6年間の潜伏期間を経て武器化させるという巧妙な戦略を用いており、現在はGoの公式プロキシから削除されています。
🔍該当判定
- Go言語を用いて自社でアプリケーションを開発している
- 開発プロジェクトの依存関係(go.mod等)に 'github.com/shopsprint/decimal' という記述がある
- 金融・決済・仮想通貨関連のシステムをGo言語で構築している
- CI/CDパイプライン(GitHub Actions等)でGo言語のビルドを自動化している
上記いずれにも該当しない → 静観でOK
✅該当時の対応
依存関係に 'github.com/shopsprint/decimal' が含まれていないか確認し、含まれている場合は直ちに削除して正規の 'github.com/shopspring/decimal' に移行すること。また、CI/CDパイプラインや開発環境のシークレット(トークン、鍵)の漏洩がないか点検することを推奨します。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Goモジュールにおけるタイポスクワッティング攻撃(shopsprint/decimal)への対応について
お疲れさまです。Go言語のライブラリにおけるサプライチェーン攻撃に関する情報共有です。
■ 概要
正規の算術ライブラリ 'shopspring/decimal' に酷似した 'shopsprint/decimal' という悪意あるパッケージが配布されていました。このパッケージはDNS TXTレコードを利用してC2通信を行い、リモートで任意のコードを実行(RCE)させるバックドアを仕込んでいました。特筆すべきは、約6年間の無害期間を経てから攻撃を有効化した点であり、検知を回避する巧妙な手法が取られています。
■ 影響範囲
- 対象パッケージ: github.com/shopsprint/decimal
- 影響を受ける環境: 当該パッケージを依存関係に含めてビルド・実行した開発環境およびサーバー
■ 対応手順
1. プロジェクトの go.mod および go.sum ファイルを確認し、'shopsprint/decimal' が含まれていないか確認してください。
2. 万が一含まれていた場合は、直ちに削除し、正規の 'github.com/shopspring/decimal' へ修正してください。
3. 当該パッケージが動作していた環境がある場合、環境変数やCI/CDトークンなどの機密情報が窃取された可能性があるため、キーのローテーションを検討してください。
■ 参考情報
- Socket 脅威研究レポート
対応優先度: 高
対応期限: 直ちに確認
お疲れさまです。Go言語のライブラリにおけるサプライチェーン攻撃に関する情報共有です。
■ 概要
正規の算術ライブラリ 'shopspring/decimal' に酷似した 'shopsprint/decimal' という悪意あるパッケージが配布されていました。このパッケージはDNS TXTレコードを利用してC2通信を行い、リモートで任意のコードを実行(RCE)させるバックドアを仕込んでいました。特筆すべきは、約6年間の無害期間を経てから攻撃を有効化した点であり、検知を回避する巧妙な手法が取られています。
■ 影響範囲
- 対象パッケージ: github.com/shopsprint/decimal
- 影響を受ける環境: 当該パッケージを依存関係に含めてビルド・実行した開発環境およびサーバー
■ 対応手順
1. プロジェクトの go.mod および go.sum ファイルを確認し、'shopsprint/decimal' が含まれていないか確認してください。
2. 万が一含まれていた場合は、直ちに削除し、正規の 'github.com/shopspring/decimal' へ修正してください。
3. 当該パッケージが動作していた環境がある場合、環境変数やCI/CDトークンなどの機密情報が窃取された可能性があるため、キーのローテーションを検討してください。
■ 参考情報
- Socket 脅威研究レポート
対応優先度: 高
対応期限: 直ちに確認
Subject: [Security Alert] Typosquatting Attack in Go Module (shopsprint/decimal)
Dear IT/Security Team,
We are sharing information regarding a supply chain attack targeting the Go ecosystem.
■ Overview
A malicious package named 'github.com/shopsprint/decimal' was found mimicking the legitimate 'github.com/shopspring/decimal' library. The package implements a stealthy backdoor that polls DNS TXT records to receive and execute arbitrary remote commands (RCE). The attacker maintained the package as harmless for approximately six years before weaponizing it in August 2023 to evade detection.
■ Scope
- Affected Package: github.com/shopsprint/decimal
- Impacted Environments: Any development or production environment that imported this specific typosquatted module.
■ Mitigation Steps
1. Audit go.mod and go.sum files across all projects to ensure 'shopsprint/decimal' is not listed as a dependency.
2. If found, immediately remove the malicious package and replace it with the official 'github.com/shopspring/decimal'.
3. If the package was executed, assume that environment secrets (API tokens, SSH keys) may have been compromised and initiate a rotation of all sensitive credentials.
■ Reference
- Socket Security Research Report
Priority: High
Deadline: Immediate
Dear IT/Security Team,
We are sharing information regarding a supply chain attack targeting the Go ecosystem.
■ Overview
A malicious package named 'github.com/shopsprint/decimal' was found mimicking the legitimate 'github.com/shopspring/decimal' library. The package implements a stealthy backdoor that polls DNS TXT records to receive and execute arbitrary remote commands (RCE). The attacker maintained the package as harmless for approximately six years before weaponizing it in August 2023 to evade detection.
■ Scope
- Affected Package: github.com/shopsprint/decimal
- Impacted Environments: Any development or production environment that imported this specific typosquatted module.
■ Mitigation Steps
1. Audit go.mod and go.sum files across all projects to ensure 'shopsprint/decimal' is not listed as a dependency.
2. If found, immediately remove the malicious package and replace it with the official 'github.com/shopspring/decimal'.
3. If the package was executed, assume that environment secrets (API tokens, SSH keys) may have been compromised and initiate a rotation of all sensitive credentials.
■ Reference
- Socket Security Research Report
Priority: High
Deadline: Immediate