🥇Публикуван е анализатор, който идентифицира 200 злонамерени пакета в NPM и PyPI

OpenSSF (Open Source Security Foundation), създадена от Linux Foundation и насочена към подобряване на сигурността на софтуера с отворен код, представи отворения проект Package Analysis, който разработва система за анализиране на наличието на зловреден код в пакетите. Кодът на проекта е написан на Go и се разпространява под лиценза Apache 2.0. Предварителното сканиране на хранилищата на NPM и PyPI с помощта на предложените инструменти ни позволи да идентифицираме повече от 200 неоткрити преди това злонамерени пакета.

По-голямата част от идентифицираните проблемни пакети манипулират пресичането на имена с вътрешни непублични зависимости на проекти (атака на объркване на зависимости) или използват методи за typosquatting (присвояване на имена, подобни на имената на популярни библиотеки), а също така извикват скриптове, които имат достъп до външни хостове по време на процеса на инсталиране. Според разработчиците на Package Analysis повечето от идентифицираните проблемни пакети най-вероятно са създадени от изследователи по сигурността, участващи в програми за награди за грешки, тъй като изпратените данни са ограничени до потребителското и системното име и действията се извършват изрично, без опити за крият поведението си.

Пакетите със злонамерена дейност включват:

PyPI пакет discordcmd, който записва изпращането на нетипични заявки към raw.githubusercontent.com, Discord API и ipinfo.io. Посоченият пакет изтегли бекдор кода от GitHub и го инсталира в клиентската директория на Discord Windows, след което стартира процеса на търсене на Discord токени във файловата система и изпращането им към външен сървър на Discord, контролиран от нападателите.
Пакетът colorsss NPM също се опита да изпрати токени от акаунт в Discord към външен сървър.
NPM пакет @roku-web-core/ajax - по време на инсталационния процес изпраща данни за системата и стартира манипулатор (обратна обвивка), който приема външни връзки и стартира команди.
PyPI package secrevthree - стартира обратна обвивка при импортиране на конкретен модул.
NPM package random-vouchercode-generator - след импортиране на библиотеката изпраща заявка към външен сървър, който връща командата и часа, в който трябва да бъде изпълнена.

Работата на Package Analysis се свежда до анализиране на кодови пакети в изходния код за установяване на мрежови връзки, достъп до файлове и изпълнение на команди. Освен това промените в състоянието на пакетите се наблюдават, за да се определи добавянето на злонамерени вмъквания в едно от изданията на първоначално безвреден софтуер. За да наблюдавате появата на нови пакети в хранилища и да правите промени в публикувани преди това пакети, се използва наборът от инструменти Package Feeds, който обединява работата с хранилищата NPM, PyPI, Go, RubyGems, Packagist, NuGet и Crate.

Анализът на пакета включва три основни компонента, които могат да се използват както заедно, така и поотделно:

Планировчик за стартиране на работа по анализ на пакети въз основа на данни от емисии на пакети.
Анализатор, който директно изследва пакет и оценява неговото поведение, използвайки статичен анализ и техники за динамично проследяване. Тестът се провежда в изолирана среда.
Товарач, който поставя резултатите от теста в хранилището на BigQuery.

Източник: opennet.ru

Публикуван е анализатор, който идентифицира 200 злонамерени пакета в NPM и PyPI

Добавяне на нов коментар Отказване на отговора

Добавяне на нов коментар