https://www.solidot.org/sto抗投诉服务器ry?sid=67135

"攻击者利用这种输入错误"，感情就是写错包，写成了别人的包了

永远不缺李逵李鬼
github.com/utfave/cli ⚠️
github.com/urfave/cli
github.com/siruspen/logrus ⚠️
github.com/sirupsen/logrus/
其中 github.com/urfave/cli 会采集信息并发送到某云，并且存在后门的可能。我想看看怎么实现的后门，可惜已经被删除。刚想利用社工通过 https://sourcegraph.com/github.com/utfave/cli 看看缓存数据，第一次还能看到提交历史，一刷新，就 not found ……

正常的，其他很多带包管理的供应链侧攻击都是这么进行的

这篇博客里有写怎么收集系统信息，但没有写后门相关的内容。
https://michenriksen.com/blog/finding-evil-go-packages/
https://michenriksen.com/assets/images/pkgtwist/utfave_cli.png

学到了，厉害

这种原来 python 上就被玩了好多了，还有抢注包名的

有意思，学习了

学到了。这两天刚刚交叉编译了个 go 的工具，我写 java 的...

除了写错包名，攻击者去接手没人维护但又被广泛使用的包才更可怕的，之前 NPM 上就出现过类似的攻击。
所以这么看，Deno 的包管理机制 + 权限限制真的是很有必要的