L'OpenSSF (Open Source Security Foundation), furmatu da a Fundazione Linux è destinatu à migliurà a sicurità di u software open source, hà introduttu u prughjettu apertu Package Analysis, chì sviluppa un sistema per analizà a presenza di codice maliziusu in i pacchetti. U codice di u prughjettu hè scrittu in Go è distribuitu sottu a licenza Apache 2.0. Una scansione preliminare di i repositori NPM è PyPI chì utilizanu l'arnesi pruposti ci hà permessu di identificà più di 200 pacchetti maliziusi precedentemente rilevati.
A maiò parte di i pacchetti problematici identificati manipulanu l'intersezzione di nomi cù dipendenze internu micca publiche di prughjetti (attaccu di cunfusione di dependenza) o utilizanu metudi di typosquatting (assignendu nomi simili à i nomi di biblioteche populari), è ancu chjamate scripts chì accede à l'ospiti esterni durante u prucessu di stallazione. Sicondu i sviluppatori di l'Analisi di Pacchetti, a maiò parte di i pacchetti problematici identificati sò più prubabilmente creati da i ricercatori di sicurezza chì participanu à i prugrammi di bug bounty, postu chì i dati mandati sò limitati à u nome di l'utilizatori è di u sistema, è l'azzioni sò realizati esplicitamente, senza tentativu di ammuccià u so cumpurtamentu.
I pacchetti cù attività maliciosa includenu:
- U pacchettu PyPI discordcmd, chì registra l'invio di richieste atipiche à raw.githubusercontent.com, Discord API è ipinfo.io. U pacchettu specificatu hà scaricatu u codice backdoor da GitHub è l'hà stallatu in u cartulare di u cliente Discord Windows, dopu chì hà iniziatu u prucessu di ricerca di tokens Discord in u sistema di schedari è l'inviendu à un servitore Discord esternu cuntrullatu da l'attaccanti.
- U pacchettu NPM colorsss hà ancu pruvatu à mandà tokens da un contu Discord à un servitore esternu.
- U pacchettu NPM @roku-web-core/ajax - durante u prucessu di stallazione hà mandatu dati nantu à u sistema è hà lanciatu un gestore (shell inversa) chì accettava cunnessione esterne è lanciava cumandamenti.
- U pacchettu PyPI secrevthree - hà lanciatu una shell inversa quandu importa un modulu specificu.
- NPM package random-vouchercode-generator - dopu avè impurtatu a biblioteca, hà mandatu una dumanda à un servitore esternu, chì hà tornatu u cumandamentu è l'ora à quale deve esse eseguitu.
U travagliu di l'Analisi di Pacchetti si riduce à analizà i pacchetti di codice in u codice fonte per stabilisce cunnessione di rete, accede à i fugliali è eseguisce cumandamenti. Inoltre, i cambiamenti in u statu di i pacchetti sò monitorati per determinà l'aghjunzione di inserti maliziusi in una di e versioni di software inizialmente innocu. Per monitorà l'apparizione di novi pacchetti in i repositori è fà cambiamenti à i pacchetti publicati in precedenza, u pacchettu di u pacchettu di u pacchettu hè utilizatu, chì unifica u travagliu cù i repositori NPM, PyPI, Go, RubyGems, Packagist, NuGet è Crate.
L'analisi di u pacchettu include trè cumpunenti basi chì ponu esse aduprati in cunghjunzione è separatamente:
- Scheduler per lancià u travagliu di analisi di pacchetti basatu nantu à e dati da i Pacchetti Feeds.
- Un analizzatore chì esamina direttamente un pacchettu è evalua u so cumpurtamentu utilizendu analisi statiche è tecniche di traccia dinamica. A prova hè fatta in un ambiente isolatu.
- Un caricatore chì mette i risultati di a prova in l'almacenamiento BigQuery.
Source: opennet.ru