主要观点：Socket 研究人员在 Go 生态系统中发现恶意模仿 BoltDB 的包，含后门可远程执行代码，已缓存于 Go Module Mirror 且 GitHub 标签被改以隐藏恶意内容，此为利用 Go Module Mirror 缓存的首例供应链攻击，攻击依赖 Go 模块的不可变性，虽有安全优势但易被滥用，开发者应警惕此类攻击。
关键信息：

• 恶意包 github.com/boltdb-go/bolt 含后门，可远程控制感染系统。
• Go Module Mirror 缓存恶意包，标签被改致手动审核未发现恶意内容。
• Go 模块默认不可变，恶意包一旦缓存会持续存在。
• 攻击利用 Go Module Proxy 缓存机制，即便仓库标签修改仍可分发恶意代码。
• 恶意包代码片段展示建立隐藏后门的技术，如 obfuscated C2 连接等。
• 建议开发者采取验证包完整性等措施防范供应链攻击。
  重要细节：
• 合法 BoltDB 被广泛使用和信任，有 8367 个其他包依赖它。
• 发现另一个模仿 BoltDB 的 typosquatted 包 github.com/bolt-db/bolt 并请愿移除。
• Socket 的 AI 扫描仪可识别恶意代码，其 GitHub 应用、CLI 和浏览器扩展可提供安全防护。
• 给出了 IOCs 包括恶意 Go 包、威胁 actor GitHub 别名和 C2 服务器等，以及相关 MITRE ATT&CK 技术。