Το OpenSSF (Ίδρυμα Ασφάλειας Ανοιχτού Κώδικα), που ιδρύθηκε από τον οργανισμό Linux Το Foundation, το οποίο στοχεύει στη βελτίωση της ασφάλειας λογισμικού ανοιχτού κώδικα, παρουσίασε το έργο ανάλυσης πακέτων ανοιχτού κώδικα, το οποίο αναπτύσσει ένα σύστημα για την ανάλυση πακέτων για κακόβουλο κώδικα. Ο κώδικας του έργου είναι γραμμένος σε Go και διανέμεται με την άδεια Apache 2.0. Μια προκαταρκτική σάρωση των αποθετηρίων NPM και PyPI χρησιμοποιώντας το προτεινόμενο κιτ εργαλείων εντόπισε πάνω από 200 προηγουμένως απαρατήρητα κακόβουλα πακέτα.
Η πλειονότητα των εντοπισμένων προβληματικών πακέτων χειρίζεται τις διασταυρώσεις ονομάτων με εσωτερικές μη δημόσιες εξαρτήσεις έργου (επίθεση σύγχυσης εξάρτησης) ή χρησιμοποιούν μεθόδους typosquatting (αναθέτοντας ονόματα παρόμοια με δημοφιλείς βιβλιοθήκες) και καλούν σενάρια κατά την εγκατάσταση που έχουν πρόσβαση σε εξωτερικούς κεντρικούς υπολογιστές. Σύμφωνα με τους προγραμματιστές του Package Analysis, τα περισσότερα από τα προβληματικά πακέτα που βρέθηκαν πιθανότατα δημιουργήθηκαν από ερευνητές ασφαλείας που συμμετέχουν σε προγράμματα επιβράβευσης σφαλμάτων, καθώς τα δεδομένα που αποστέλλονται περιορίζονται στο όνομα χρήστη και συστήματος και οι ενέργειες εκτελούνται ρητά, χωρίς να επιχειρείται απόκρυψη της συμπεριφοράς τους.
Μεταξύ των πακέτων με κακόβουλη δραστηριότητα, σημειώνονται τα εξής:
- Διαπιστώθηκε ότι το πακέτο discordcmd PyPI έστελνε ασυνήθιστα αιτήματα στο raw.githubusercontent.com, στο Discord API και στο ipinfo.io. Αυτό το πακέτο κατέβασε κώδικα backdoor από το GitHub και τον εγκατέστησε σε έναν κατάλογο. Windows- Πρόγραμμα-πελάτης Discord, μετά την οποία ξεκίνησε μια διαδικασία αναζήτησης για διακριτικά Discord στο σύστημα αρχείων και αποστολής τους σε έναν εξωτερικό διακομιστή Discord που ελέγχεται από τους εισβολείς.
- Το πακέτο NPM colorss, το οποίο επίσης προσπάθησε να προωθήσει σε εξωτερικό διακομιστή μάρκες από έναν λογαριασμό Discord.
- Πακέτο NPM @roku-web-core/ajax - κατά την εγκατάσταση έστειλε δεδομένα σχετικά με το σύστημα και ξεκίνησε έναν χειριστή (αντίστροφο κέλυφος) που δέχεται εξωτερικές συνδέσεις και εκτελεί εντολές.
- Πακέτο PyPI secrevthree - εκτέλεσε ένα αντίστροφο κέλυφος κατά την εισαγωγή μιας συγκεκριμένης λειτουργικής μονάδας.
- Πακέτο NPM random-vouchercode-generator - μετά την εισαγωγή της βιβλιοθήκης, έστειλε ένα αίτημα σε έναν εξωτερικό διακομιστή, ο οποίος επέστρεψε την εντολή και την ώρα που έπρεπε να εκτελεστεί.
Η εργασία της Ανάλυσης Πακέτων συνοψίζεται στην ανάλυση πακέτων πηγαίου κώδικα για τη δημιουργία συνδέσεων δικτύου, την πρόσβαση σε αρχεία και την εκτέλεση εντολών. Επιπλέον, παρακολουθούνται οι αλλαγές στην κατάσταση των πακέτων για να προσδιοριστεί εάν έχουν προστεθεί κακόβουλα ένθετα σε μία από τις εκδόσεις αρχικά ακίνδυνου λογισμικού. Για την παρακολούθηση της εμφάνισης νέων πακέτων σε αποθετήρια και αλλαγών σε πακέτα που είχαν τοποθετηθεί προηγουμένως, χρησιμοποιείται το κιτ εργαλείων Package Feeds, το οποίο ενοποιεί την εργασία με αποθετήρια NPM, PyPI, Go, RubyGems, Packagist, NuGet και Crate.
Η Ανάλυση πακέτου περιλαμβάνει τρία βασικά στοιχεία που μπορούν να χρησιμοποιηθούν είτε μαζί είτε χωριστά:
- Προγραμματιστής για εκτέλεση εργασιών ανάλυσης πακέτων με βάση δεδομένα από Ροές πακέτων.
- Ένας αναλυτής που εξετάζει απευθείας ένα πακέτο και αξιολογεί τη συμπεριφορά του χρησιμοποιώντας μεθόδους στατικής ανάλυσης και δυναμικής ανίχνευσης. Η δοκιμή πραγματοποιείται σε απομονωμένο περιβάλλον.
- Ένας φορτωτής που τοποθετεί τα αποτελέσματα σάρωσης στον χώρο αποθήκευσης BigQuery.
Πηγή: opennet.ru
