資安業者警告，來自俄羅斯的Go套件Easyjson可能危及美國國家安全

專門追蹤開源軟體供應鏈安全性的美國資安新創Hunted Labs周一（5/5）警告，他們發現一個Go語言的開源軟體套件Easyjson是由俄羅斯最大社交平臺VK所開發，恐危及美國國家安全。

Hunted Labs是利用該公司所開發的Entercept平臺來協助客戶辨識與追蹤所使用的軟體是否受到國外的控制或影響，進而發現Easyjson已被部署在美國政府系統、Fortune五百大企業，以及雲端原生運算基金會（Cloud Native Computing Foundation，CNCF）的許多專案中。

Easyjson是個Go語言套件，專門為優化JSON序列化及反序列化過程而設計，藉由生成Go程式碼來實現JSON的編碼與解碼，在雲端原生生態系統中被廣泛採用，受到許多開源與企業專案的仰賴，以於分散式系統中高性能地處理JSON，在金融與分析平臺上的即時資料序列化，以及雲端應用的最佳化，包括容器編排平臺Kubernetes、Kubernetes套件管理工具Helm，以及開源的服務網格Istio都採用了Easyjson。

研究人員指出，如Easyjson等序列化工具是在應用程序的底層運行，它們通常是無形的，且緊密整合了系統的各個核心元件，一旦部署就很難移除與替換，一向被預設是可靠的。然而，當它們被武器化時，Easyjson即可能成為供應鏈的後門，可藉由反序列化執行遠端程式攻擊，被用來執行間諜活動或竊取資料，或者是啟用Kill Switch，於特定條件下觸發預設的破壞性功能。

其實現階段Easyjson最大的嫌疑來自於它是由VK所開發的，如同美國圍堵華為的最大原因來自於相信它受到中國政府的掌控。

VK為俄羅斯的第二大網路公司，是當地最大的入口網站與社交平臺，市占率超過6成，勝過Telegram的42%與臉書的26%，在俄羅斯科技領域的影響力僅次於搜尋引擎Yandex。VK的控股公司MF Technologies雖僅持有4.8%的VK經濟權益，卻擁有57.3%的VK投票權，在2021年時，與俄羅斯總統普丁（Vladimir Putin）關係密切的保險業者Sogaz、控股公司Gazprom-Media及國營技術公司Rostec相繼買下了MF Technologies的所有股份，取得VK的實際控制權，同年即撤換了VK執行長。

而在俄烏戰爭之後，不僅是VK程式受到國際制裁，VK執行長Vladimir Kiriyenko也遭到美國、加拿大、英國、歐盟、日本與澳洲等國家的制裁。

Hunted Labs表示，VK在俄烏戰爭中一直藉由審查或推廣內容發揮著作用，刪除任何對俄羅斯政府不利的言論，使得他們也對Easyjson這個由俄羅斯貢獻者提交逾85%以上程式碼的專案感到憂心，而該專案現在正處於美國雲端原生生態系統的臍帶位置。