Linux Fondu tərəfindən yaradılan və açıq mənbəli proqram təminatının təhlükəsizliyini təkmilləşdirməyə yönəlmiş OpenSSF (Açıq Mənbə Təhlükəsizlik Fondu) paketlərdə zərərli kodun mövcudluğunun təhlili sistemini inkişaf etdirən Paket Analizi açıq layihəsini təqdim edib. Layihə kodu Go proqramında yazılmışdır və Apache 2.0 lisenziyası altında paylanmışdır. Təklif olunan alətlərdən istifadə etməklə NPM və PyPI repozitoriyalarının ilkin skan edilməsi bizə əvvəllər aşkarlanmamış 200-dən çox zərərli paketi müəyyən etməyə imkan verdi.
Müəyyən edilmiş problemli paketlərin böyük hissəsi adların layihələrin daxili qeyri-ictimai asılılıqları ilə kəsişməsini manipulyasiya edir (asılılıq çaşqınlığı hücumu) və ya yazı yazım metodlarından istifadə edir (məşhur kitabxanaların adlarına oxşar adların təyin edilməsi), həmçinin xarici hostlara daxil olan skriptləri çağırır. quraşdırma prosesi. Package Analysis tərtibatçılarının fikrincə, müəyyən edilmiş problemli paketlərin əksəriyyəti çox güman ki, səhv mükafat proqramlarında iştirak edən təhlükəsizlik tədqiqatçıları tərəfindən yaradılıb, çünki göndərilən məlumatlar istifadəçi və sistem adı ilə məhdudlaşır və hərəkətlər açıq şəkildə həyata keçirilir. davranışlarını gizlədirlər.
Zərərli fəaliyyəti olan paketlərə aşağıdakılar daxildir:
- raw.githubusercontent.com, Discord API və ipinfo.io ünvanlarına atipik sorğuların göndərilməsini qeyd edən PyPI paketi discordcmd. Göstərilən paket GitHub-dan arxa qapı kodunu endirdi və onu Discord Windows müştəri kataloqunda quraşdırdı, bundan sonra fayl sistemində Discord tokenlərinin axtarışı və onları təcavüzkarlar tərəfindən idarə olunan xarici Discord serverinə göndərilməsi prosesinə başladı.
- Colorss NPM paketi həmçinin Discord hesabından xarici serverə işarələr göndərməyə çalışdı.
- NPM paketi @roku-web-core/ajax - quraşdırma prosesi zamanı sistem haqqında məlumat göndərdi və xarici əlaqələri qəbul edən və əmrləri işə salan bir işləyicini (əks qabıq) işə saldı.
- PyPI paketi secrevthree - müəyyən bir modulu idxal edərkən əks qabığı işə saldı.
- NPM paketi random-vouchercode-generator - kitabxananı idxal etdikdən sonra o, xarici serverə sorğu göndərdi, o, əmri və onun işə salınmalı olduğu vaxtı qaytardı.
Paket Analizinin işi şəbəkə əlaqələrinin qurulması, fayllara daxil olmaq və əmrləri yerinə yetirmək üçün mənbə kodundakı kod paketlərini təhlil etməkdən ibarətdir. Bundan əlavə, ilkin olaraq zərərsiz proqram təminatının buraxılışlarından birinə zərərli əlavələrin əlavə olunmasını müəyyən etmək üçün paketlərin vəziyyətindəki dəyişikliklərə nəzarət edilir. Anbarlarda yeni paketlərin görünüşünü izləmək və əvvəllər yerləşdirilən paketlərə dəyişiklik etmək üçün NPM, PyPI, Go, RubyGems, Packagist, NuGet və Crate repozitoriyaları ilə işi birləşdirən Package Feeds alətlər dəsti istifadə olunur.
Paket Analizi həm birlikdə, həm də ayrıca istifadə edilə bilən üç əsas komponentdən ibarətdir:
- Paket Lentlərindən alınan məlumatlara əsaslanan paket təhlili işini işə salmaq üçün planlaşdırıcı.
- Statik analiz və dinamik izləmə üsullarından istifadə edərək paketi birbaşa yoxlayan və davranışını qiymətləndirən analizator. Test təcrid olunmuş bir mühitdə aparılır.
- Test nəticələrini BigQuery yaddaşına yerləşdirən yükləyici.
Mənbə: opennet.ru