В сообществе языка программирования Go был обнаружен вредоносный пакет, который никто не заметил в течение трех лет. Кирилл Бойченко из компании Socket Security сообщил об этом в своем блоге. Он сказал, что злоумышленники заменили популярный пакет базы данных BoltDB, который используют многие компании, включая Shopify и Heroku.
BoltDB был создан девять лет назад и не обновлялся уже год. Злоумышленники использовали хитрость, создав поддельный пакет с похожим названием на GitHub. При установке этой подделки в проекте появляется вредоносный код.
Хотя вредоносная версия была доступна на Go Module Proxy в течение трех лет, она была скачана всего дважды, и оба раза это был один и тот же криптовалютный проект с небольшим количеством подписчиков. Этот инцидент выявил уязвимость в системе управления пакетами Go.
Компания Socket Security уже обратилась к команде Go с требованием удалить поддельный пакет. Официального ответа от разработчиков Go пока нет.
