De OpenSSF (Open Source Security Foundation), foarme troch de Linux Foundation en rjochte op it ferbetterjen fan de feiligens fan iepen boarne software, yntrodusearre it iepen projekt Package Analysis, dat in systeem ûntwikkelet foar it analysearjen fan de oanwêzigens fan kweade koade yn pakketten. De projektkoade is skreaun yn Go en ferspraat ûnder de Apache 2.0-lisinsje. In foarriedige scan fan 'e NPM- en PyPI-repositories mei help fan de foarstelde ark lieten ús identifisearje mear as 200 earder net ûntdutsen kweade pakketten.
It grutste part fan 'e identifisearre problematyske pakketten manipulearje de krusing fan nammen mei ynterne net-iepenbiere ôfhinklikens fan projekten (oanfal fan ôfhinklikensferwarring) of brûke typosquattingmetoaden (nammen tawizen lykas de nammen fan populêre bibleteken), en neame ek skripts dy't tagong krije ta eksterne hosts tidens it ynstallaasjeproses. Neffens de ûntwikkelders fan Package Analysis waarden de measte identifisearre problematyske pakketten nei alle gedachten makke troch feiligensûndersikers dy't dielnimme oan bug-bounty-programma's, om't de ferstjoerde gegevens beheind binne ta de brûker en systeemnamme, en de aksjes wurde eksplisyt útfierd, sûnder besykjen om ferbergje harren gedrach.
Pakketten mei kweade aktiviteit omfetsje:
- PyPI-pakket discordcmd, dat it ferstjoeren fan atypyske oanfragen registrearret nei raw.githubusercontent.com, Discord API en ipinfo.io. It spesifisearre pakket hat de efterdoarkoade fan GitHub ynladen en ynstalleare yn 'e Discord Windows-kliïntmap, wêrnei't it proses begon te sykjen nei Discord-tokens yn it bestânsysteem en se te stjoeren nei in eksterne Discord-tsjinner kontrolearre troch de oanfallers.
- It coloursss NPM-pakket besocht ek tokens te stjoeren fan in Discord-akkount nei in eksterne server.
- NPM-pakket @roku-web-core/ajax - tidens it ynstallaasjeproses stjoerde it gegevens oer it systeem en lansearre in handler (reverse shell) dy't eksterne ferbiningen akseptearre en kommando's lansearre.
- PyPI-pakket secrevthree - lansearre in omkearde shell by it ymportearjen fan in spesifike module.
- NPM-pakket random-vouchercode-generator - nei it ymportearjen fan 'e bibleteek stjoerde it in fersyk nei in eksterne tsjinner, dy't it kommando weromjûn en de tiid wêryn't it moat wurde útfierd.
It wurk fan Package Analysis komt del op it analysearjen fan koadepakketten yn 'e boarnekoade foar it oprjochtsjen fan netwurkferbiningen, tagong krije ta bestannen en kommando's útfiere. Derneist wurde wizigingen yn 'e tastân fan pakketten kontrolearre om de tafoeging fan kweade ynserts te bepalen yn ien fan' e releases fan ynearsten harmless software. Om it uterlik fan nije pakketten yn repositories te kontrolearjen en wizigingen te meitsjen oan earder pleatste pakketten, wurdt de Package Feeds toolkit brûkt, dy't wurk ferieniget mei de NPM, PyPI, Go, RubyGems, Packagist, NuGet en Crate repositories.
Pakketanalyse omfettet trije basiskomponinten dy't sawol yn gearhing as apart kinne wurde brûkt:
- Planner foar it lansearjen fan pakketanalysewurk basearre op gegevens fan Package Feeds.
- In analysator dy't in pakket direkt ûndersiket en syn gedrach evaluearret mei statyske analyse en dynamyske tracingtechniken. De test wurdt útfierd yn in isolearre omjouwing.
- In loader dy't de testresultaten pleatst yn BigQuery-opslach.
Boarne: opennet.ru