ፕሮሆስተር > ጦማር > የኢንተርኔት ዜና > በNPM እና PyPI ውስጥ 200 ተንኮል አዘል ፓኬጆችን የለየ ተንታኝ ታትሟል

በNPM እና PyPI ውስጥ 200 ተንኮል አዘል ፓኬጆችን የለየ ተንታኝ ታትሟል

በሊኑክስ ፋውንዴሽን የተቋቋመው እና የክፍት ምንጭ ሶፍትዌሮችን ደህንነት ለማሻሻል ያለመ OpenSSF (ክፍት ምንጭ ሴኩሪቲ ፋውንዴሽን) በጥቅሎች ውስጥ ተንኮል-አዘል ኮድ መኖሩን የሚተነተንበትን ስርዓት የሚዘረጋውን ክፍት ፕሮጀክት የጥቅል ትንታኔ አስተዋውቋል። የፕሮጀክት ኮድ በ Go ውስጥ ተጽፎ በApache 2.0 ፈቃድ ስር ተሰራጭቷል። የታቀዱትን መሳሪያዎች በመጠቀም የNPM እና PyPI ማከማቻዎች ቅድመ ቅኝት ከ200 በላይ ከዚህ ቀደም ያልተገኙ ተንኮል አዘል ፓኬጆችን እንድናውቅ አስችሎናል።

አብዛኛው የታወቁት ችግር ያለባቸው ፓኬጆች የስሞች መገናኛን ከውስጥ የህዝብ ያልሆኑ የፕሮጀክቶች ጥገኝነት (ጥገኛ ግራ መጋባት ጥቃት) ወይም የፊደል አጻጻፍ ዘዴዎችን ይጠቀማሉ (ከታዋቂ ቤተ-መጻሕፍት ስሞች ጋር ተመሳሳይ ስሞችን ይመድባሉ) እና እንዲሁም የውጭ አስተናጋጆችን በሚያገኙበት ጊዜ ስክሪፕቶችን ይጠራሉ የመጫን ሂደቱ. የጥቅል ትንታኔ አዘጋጆች እንደሚሉት ከሆነ፣ አብዛኞቹ ችግር ያለባቸው ፓኬጆች የተፈጠሩት በደህንነት ተመራማሪዎች የሳንካ ቦውንቲ ፕሮግራሞች ላይ በመሳተፍ ነው፣ ምክንያቱም የተላከው መረጃ በተጠቃሚው እና በስርዓት ስም ብቻ የተገደበ ስለሆነ እና ድርጊቶቹ የሚከናወኑት በግልፅ ነው፣ ያለ ሙከራ ባህሪያቸውን ደብቅ .

ተንኮል አዘል እንቅስቃሴ ያላቸው እሽጎች የሚከተሉትን ያካትታሉ:

  • የPyPI ጥቅል discordcmd፣ ወደ raw.githubusercontent.com፣ Discord API እና ipinfo.io የሚላኩ ጥያቄዎችን ይመዘግባል። የተገለፀው ፓኬጅ የጀርባውን ኮድ ከ GitHub አውርዶ በ Discord Windows client directory ውስጥ ከጫነው በኋላ በፋይል ሲስተም ውስጥ የዲስኮርድ ቶከኖችን የመፈለግ ሂደት ጀመረ እና በአጥቂዎች ቁጥጥር ስር ወዳለው የውጭ ዲስክ አገልጋይ መላክ ጀመረ።
  • የcolorss NPM ጥቅል ቶከኖችን ከ Discord መለያ ወደ ውጫዊ አገልጋይ ለመላክም ሞክሯል።
  • NPM ጥቅል @roku-web-core/ajax - በመጫን ሂደት ውስጥ ስለ ስርዓቱ መረጃ ልኮ የውጭ ግንኙነቶችን የሚቀበል እና ትዕዛዞችን የጀመረ ተቆጣጣሪ (የተገላቢጦሽ ሼል) አስጀምሯል.
  • የፒፒአይ ፓኬጅ ሴክሬቭስትሪ - አንድ የተወሰነ ሞጁል ሲያስገቡ የተገላቢጦሽ ሼል ጀምሯል።
  • የ NPM ጥቅል የዘፈቀደ-ቫውቸር ኮድ-ጄነሬተር - ቤተ-መጽሐፍቱን ካስመጣ በኋላ ወደ ውጫዊ አገልጋይ ጥያቄ ላከ ፣ እሱም ትዕዛዙን እና መሮጥ ያለበትን ጊዜ መለሰ።

የጥቅል ትንተና ሥራ የአውታረ መረብ ግንኙነቶችን ለመመስረት፣ ፋይሎችን ለመድረስ እና ትዕዛዞችን ለማስኬድ በምንጭ ኮድ ውስጥ ያሉትን የኮድ ፓኬጆችን ለመተንተን ይወርዳል። በተጨማሪም በመጀመሪያ ምንም ጉዳት በሌላቸው ሶፍትዌሮች ውስጥ ከተለቀቁት በአንዱ ውስጥ ተንኮል-አዘል ማስገቢያዎች መጨመርን ለማወቅ በጥቅሎች ሁኔታ ላይ ያሉ ለውጦች ክትትል ይደረግባቸዋል። አዳዲስ ፓኬጆችን በማጠራቀሚያዎች ውስጥ መኖራቸውን ለመከታተል እና ከዚህ ቀደም በተለጠፉት ፓኬጆች ላይ ለውጦችን ለማድረግ የጥቅል ምግቦች መገልገያ ኪት ጥቅም ላይ ይውላል፣ ይህም ከNPM፣ PyPI፣ Go፣ RubyGems፣ Packagist፣ NuGet እና Crate ማከማቻዎች ጋር አንድ የሚያደርግ ነው።

የጥቅል ትንተና ሁለቱንም በጋራ እና በተናጥል ጥቅም ላይ ሊውሉ የሚችሉ ሶስት መሰረታዊ ክፍሎችን ያካትታል፡-

  • ከጥቅል ምግቦች በተገኘ መረጃ ላይ የተመሰረተ የጥቅል ትንተና ሥራ ለመጀመር መርሐግብር አዘጋጅ.
  • ተንታኝ ጥቅልን በቀጥታ የሚመረምር እና ባህሪውን የማይለዋወጥ ትንተና እና ተለዋዋጭ የመከታተያ ዘዴዎችን በመጠቀም የሚገመግም ነው። ፈተናው የሚካሄደው በገለልተኛ አካባቢ ነው.
  • የፈተናውን ውጤት ወደ BigQuery ማከማቻ የሚያስቀምጥ ጫኚ።

ምንጭ: opennet.ru

አስተያየት ያክሉ