Uma notícia preocupante surgiu na comunidade de desenvolvedores: o Google’s Go Module Mirror, um serviço que é responsável por armazenar e distribuir pacotes de código aberto, estava hospedando um pacote malicioso por mais de três anos.

O Go Module Mirror é um serviço que cacheia pacotes de código aberto para tornar downloads mais rápidos e garantir que os pacotes sejam compatíveis com o resto do ecossistema Go. De forma padrão, quando um desenvolvedor usa ferramentas de linha de comando integradas ao Go para baixar ou instalar pacotes, as solicitações são direcionadas ao serviço.

No entanto, desde novembro de 2021, o Go Module Mirror estava hospedando uma versão manipulada de um pacote amplamente utilizado, segundo uma equipe de segurança chamada Socket. O pacote utilizado é uma técnica chamada “typosquatting”, que consiste em criar um arquivo com um nome similar a um arquivo legítimo e enviá-lo para um repositório popular. Isso significa que, se alguém digita um nome de arquivo com um erro de escrita (ou mesmo um pequeno erro) quando baixar um arquivo com a linha de comando, eles podem acabar baixando o arquivo malicioso em vez do arquivo que pretendiam.

A equipe de segurança do Socket descobriu o pacote malicioso após uma investigação e contatou o Google para que o problema fosse resolvido. Embora o Google tenha removido o pacote malicioso, é importante lembrar que o serviço pode ter sido utilizado por desenvolvedores por mais de três anos, o que pode ter causado danos graves.

**Fontes:**

* Socket: “Backdoored Package on Google’s Go Module Mirror Spotted After 3 Years” (https://www.socket.dev/blog/backdoored-package-on-go-module-mirror-spotted-after-3-years)
* The Register: “Google’s Go Module Mirror caught hosting backdoored package for three years” (https://www.theregister.com/2023/02/27/google_go_module_mirror_backdoored_package/)

**Comentários:**

Essa notícia é um lembrete importante para os desenvolvedores de que a segurança é fundamental em qualquer projeto. É crucial verificar a origem e a autenticidade de quaisquer pacotes ou arquivos que sejam baixados, especialmente quando se trata de código aberto.