Thug OpenSSF (Fondúireacht Slándála Foinse Oscailte), a bhunaigh an Linux Foundation agus a bhí dírithe ar shlándáil bogearraí foinse oscailte a fheabhsú, isteach Anailís Pacáiste tionscadail oscailte, a fhorbraíonn córas chun anailís a dhéanamh ar láithreacht cód mailíseach i bpacáistí. Tá an cód tionscadail scríofa i Go agus a dháileadh faoi cheadúnas Apache 2.0. Cheadaigh réamhscagadh ar stórtha NPM agus PyPI ag baint úsáide as na huirlisí molta dúinn níos mó ná 200 pacáiste mailíseach nár braitheadh roimhe seo a aithint.
Déanann an chuid is mó de na pacáistí fadhbacha aitheanta trasnú ainmneacha le spleáchais inmheánacha neamhphoiblí tionscadal a ionramháil (ionsaí mearbhall spleáchais) nó úsáideann modhanna typosquatting (ainmneacha atá cosúil le hainmneacha leabharlanna tóir a shannadh), agus glaonna freisin ar scripteanna a chuireann rochtain ar óstaigh seachtracha le linn. an próiseas suiteála. De réir fhorbróirí Anailís Pacáiste, is dóichí gur taighdeoirí slándála a bhí rannpháirteach i gcláir deolchaire fabhtanna a chruthaigh an chuid is mó de na pacáistí fadhbanna aitheanta, ós rud é go bhfuil na sonraí a sheoltar teoranta don ainm úsáideora agus don chóras, agus déantar na gníomhartha go sainráite, gan iarracht a dhéanamh. cheilt a n-iompar.
I measc na bpacáistí a bhfuil gníomhaíocht mhailíseach iontu tá:
- Pacáiste PyPI discordcmd, a thaifeadann iarratais aitíopúla a sheoladh chuig raw.githubusercontent.com, Discord API agus ipinfo.io. Rinne an pacáiste sonraithe an cód backdoor a íoslódáil ó GitHub agus é a shuiteáil in eolaire cliant Discord Windows, agus ina dhiaidh sin thosaigh sé ar an bpróiseas chun comharthaí Discord a chuardach sa chóras comhaid agus iad a sheoladh chuig freastalaí Discord seachtrach arna rialú ag na hionsaitheoirí.
- Rinne pacáiste NPM dathannass iarracht freisin comharthaí a sheoladh ó chuntas Discord chuig freastalaí seachtrach.
- Pacáiste NPM @roku-web-core/ajax - le linn an phróisis suiteála sheol sé sonraí faoin gcóras agus sheol sé láimhseálaí (blaosc droim ar ais) a ghlac le naisc sheachtracha agus a sheol orduithe.
- Pacáiste PyPI secrevthree - sheol blaosc droim ar ais nuair a bhí modúl ar leith á allmhairiú.
- Pacáiste NPM random-vouchercode-generator - tar éis an leabharlann a allmhairiú, chuir sé iarratas chuig freastalaí seachtrach, a chuir an t-ordú ar ais agus an t-am ar cheart é a rith.
Tagann obair Anailíse ar Phacáistí síos ar anailís a dhéanamh ar phacáistí cód sa chód foinse chun naisc líonra a bhunú, rochtain a fháil ar chomhaid, agus orduithe a rith. Ina theannta sin, déantar monatóireacht ar athruithe ar staid na bpacáistí chun a fháil amach an gcuirtear ionsáin mhailíseacha i gceann de na heisiúintí bogearraí neamhdhíobhálach ar dtús. Chun monatóireacht a dhéanamh ar chuma na bpacáistí nua i stórtha agus chun athruithe a dhéanamh ar phacáistí a postáladh roimhe seo, úsáidtear an fhoireann uirlisí Pacáiste Fothaí, a aontaíonn obair le stórtha NPM, PyPI, Go, RubyGems, Packagist, NuGet agus Crate.
Áiríonn Anailís Pacáiste trí chomhpháirt bhunúsacha is féidir a úsáid i gcomhar agus go leithleach:
- Sceidealóir chun obair anailíse pacáiste a sheoladh bunaithe ar shonraí ó Fothaí Pacáiste.
- Anailíseoir a scrúdaíonn pacáiste go díreach agus a dhéanann meastóireacht ar a iompar trí úsáid a bhaint as anailís statach agus as teicnící rianaithe dinimiciúla. Déantar an tástáil i dtimpeallacht iargúlta.
- lódóir a chuireann na torthaí tástála isteach i stóras BigQuery.
Foinse: oscailtenet.ru