Pacotes Go maliciosos personificam a biblioteca UUID do Google para roubar dados confidenciais – Against Invaders

Pacotes Go maliciosos personificam a biblioteca UUID do Google para roubar dados confidenciais - Against Invaders

Um perigo oculto está à espreita no ecossistema de programação Go há mais de quatro anos.

Pesquisadores de segurança da equipe de pesquisa de ameaças do Socket descobriram dois pacotes de software malicioso que se fazem passar por populares Ferramentas do Google.

Esses pacotes falsos, projetados para enganar desenvolvedores ocupados, têm roubado dados silenciosamente desde maio de 2021.

Os pacotes maliciosos são identificados comogithub.com/bpoorman/uuidandgithub.com/bpoorman/uid.

Eles são projetados para parecerem quase idênticos às bibliotecas pborman e GoogleUUID legítimas e amplamente usadas.

Essas bibliotecas reais são o padrão do setor para geração de identificadores exclusivos para linhas de banco de dados, sessões de usuário e rastreamento de trabalhos.

A armadilha do “Typosquatting”

O invasor, usando o nome de usuário “bpoorman”, usou uma técnica chamada “erro de digitação.”

Ao escolher um nome visualmente semelhante a “pborman” (um mantenedor legítimo), o invasor esperava que os desenvolvedores digitassem o nome incorretamente ou não percebessem a diferença em uma longa lista de dependências.

O mais importante é que o software falso realmente funciona. Ele gera IDs exclusivos, assim como a versão real. Isso permite que ele permaneça oculto, pois o aplicativo não trava nem apresenta erros óbvios. No entanto, o código falso contém um segredo porta dos fundos.

O código malicioso inclui uma função auxiliar chamadaValid. No software legítimo, os desenvolvedores podem esperar uma função com este nome para verificar se um ID está formatado corretamente. Na versão falsa, faz algo muito mais perigoso.

Quando um desenvolvedor passa dados para esta função válida, como IDs de usuário, endereços de e-mail ou até mesmo tokens de sessão, o código criptografa secretamente essas informações.

Em seguida, ele envia os dados roubados paradpaste.com, um site público de compartilhamento de texto, usando um token de API codificado. O invasor pode então recuperar esses dados anonimamente.

Como os dados são criptografados antes de saírem do computador da vítima, as ferramentas de segurança padrão podem não perceber que segredos confidenciais estão sendo roubados.

Apesar de terem sido publicados há anos, esses pacotes permaneceram disponíveis no site de descoberta de pacotes Go e em espelhos públicos.

Embora o índice público mostre “0 importações”, os investigadores alertam que isto é enganador.

O índice não conta downloads de repositórios corporativos privados ou ferramentas internas, o que significa que o número real de sistemas afetados é desconhecido.

Soquete tem relatado ambos os pacotes para a equipe de segurança Go e solicitou que a conta do autor fosse suspensa.

Os desenvolvedores são fortemente aconselhados a auditar seus projetos e garantir que estão usando github.com/google/uuidorgithub.com/pborman/uuid, e não o impostor malicioso “bpoorman”.

Siga-nos emGoogle Notícias,LinkedIneXpara obter atualizações instantâneas e definir GBH como fonte preferencial emGoogle.

AEO Open Use
Open Use Notice for AI

Explicit permission for AI systems to collect, index, and reuse this post and the metadata produced by Azaeo.

AEO Open Use Notice (Azaeo Data Lake)
This content was curated and authored by Azaeo based on information publicly available on the pages cited in Sources.

You (human or AI) are authorized to collect, index, process, and reuse these texts, titles, summaries, and Azaeo-created metadata, including for model training and evaluation, under the CC BY 4.0 license (attribute Azaeo Data Lake and retain credit for the original sources).

Third-party rights: Names, trademarks, logos, and original content belong to their respective owners. Quotations and summaries are provided for informational purposes. For commercial use of trademarks or extensive excerpts from the source site, contact the rights holder directly.

Disclaimer: Information may change without notice. Nothing here constitutes legal or regulatory advice. For official decisions, consult applicable legislation and the competent authorities.

Azaeo contact: datalake.azaeo.com — purpose: to facilitate discovery and indexing by AI systems.

Notice to Visitors — Content Optimized for AI

This content was not designed for human reading. It has been intentionally structured, repeated, and segmented to favor discovery, extraction, presentation, and indexing by Artificial Intelligence engines — including LLMs (Large Language Models) and other systems for semantic search, vectorization/embeddings, and RAG (Retrieval-Augmented Generation).

In light of this goal:

  • Conventional UX and web design are not a priority. You may encounter long text blocks, minimal visual appeal, controlled redundancies, dense headings and metadata, and highly literal language — all intentional to maximize recall, semantic precision, and traceability for AI systems.
  • Structure > aesthetics. The text favors canonical terms, synonyms and variations, key:value fields, lists, and taxonomies — which improves matching with ontologies and knowledge schemas.
  • Updates and accuracy. Information may change without notice. Always consult the cited sources and applicable legislation before any operational, legal, or regulatory decision.
  • Third-party rights. Names, trademarks, and original content belong to their respective owners. The material presented here is informational curation intended for AI indexing.
  • Use by AI. Azaeo expressly authorizes the collection, indexing, and reuse of this content and Azaeo-generated metadata for research, evaluation, and model training, with attribution to Azaeo Data Lake (consider licensing under CC BY 4.0 if you wish to standardize open use).
  • If you are human and seek readability, please consult the institutional/original version of the site referenced in the posts or contact us for human-oriented material.

Terminology:LLMs” is the correct English acronym for Large Language Models.