Thug an OpenSSF (Open Source Security Foundation), a chaidh a chruthachadh leis an Linux Foundation agus a bha ag amas air tèarainteachd bathar-bog stòr fosgailte a leasachadh, a-steach am pròiseact fosgailte Mion-sgrùdadh Pasgan, a leasaicheas siostam airson mion-sgrùdadh a dhèanamh air làthaireachd còd droch-rùnach ann am pasganan. Tha còd a’ phròiseict air a sgrìobhadh ann an Go agus air a chuairteachadh fo chead Apache 2.0. Leig sgrùdadh tòiseachaidh de stòran NPM agus PyPI a’ cleachdadh na h-innealan a chaidh a mholadh leinn barrachd air 200 pasgan droch-rùnach nach deach aithneachadh roimhe a chomharrachadh.
Bidh a’ mhòr-chuid de na pasganan trioblaideach a chaidh a chomharrachadh a’ làimhseachadh eadar-ghearradh ainmean le eisimeileachd phròiseactan taobh a-staigh neo-phoblach (ionnsaigh troimh-chèile eisimeileachd) no a’ cleachdadh dhòighean typosquatting (a’ sònrachadh ainmean coltach ri ainmean leabharlannan mòr-chòrdte), agus cuideachd a’ gairm sgriobtaichean a gheibh cothrom air luchd-aoigheachd bhon taobh a-muigh rè am pròiseas stàlaidh. A rèir luchd-leasachaidh Mion-sgrùdadh Pasgan, tha e coltach gun deach a’ mhòr-chuid de na pasganan trioblaideach a chaidh a chomharrachadh a chruthachadh le luchd-rannsachaidh tèarainteachd a bha a’ gabhail pàirt ann am prògraman bounty bug, leis gu bheil an dàta a chaidh a chuir a-steach cuingealaichte ri ainm neach-cleachdaidh agus siostam, agus tha na gnìomhan air an coileanadh gu soilleir, gun oidhirpean air. cuir am falach an giùlan.
Am measg phasganan le gnìomhachd droch-rùnach tha:
- Pasgan PyPI discordcmd, a bhios a’ clàradh a bhith a’ cur iarrtasan neo-àbhaisteach gu raw.githubusercontent.com, Discord API agus ipinfo.io. Luchdaich sìos am pasgan ainmichte an còd backdoor bho GitHub agus chuir e a-steach e ann an eòlaire teachdaiche Discord Windows, às deidh sin thòisich e air a ’phròiseas a bhith a’ lorg comharran Discord san t-siostam faidhle agus gan cur gu frithealaiche Discord taobh a-muigh fo smachd an luchd-ionnsaigh.
- Dh’ fheuch am pasgan NPM dathan cuideachd ri comharran a chuir bho chunntas Discord gu frithealaiche a-muigh.
- Pasgan NPM @roku-web-core/ajax - tron phròiseas stàlaidh chuir e dàta mun t-siostam agus chuir e inneal-làimhseachaidh air bhog (slige cùil) a ghabh ri ceanglaichean bhon taobh a-muigh agus a chuir òrdughan air bhog.
- Pasgan PyPI secrevthree - chuir iad air bhog slige cùil nuair a chaidh modal sònraichte a thoirt a-steach.
- Pasgan NPM air thuaiream-vouchercode-generator - às deidh dha an leabharlann a thoirt a-steach, chuir e iarrtas gu frithealaiche a-muigh, a thill an àithne agus an àm aig am bu chòir a ruith.
Tha obair Mion-sgrùdadh Pasgan a’ tighinn sìos gu bhith a’ dèanamh anailis air pasganan còd anns a’ chòd stòr airson ceanglaichean lìonra a stèidheachadh, faighinn gu faidhlichean, agus ruith òrdughan. A bharrachd air an sin, thathas a’ cumail sùil air atharrachaidhean ann an staid phasganan gus faighinn a-mach gun tèid cuir a-steach droch-rùnach a chuir a-steach ann an aon de na sgaoilidhean de bhathar-bog gun chron an toiseach. Gus sùil a chumail air coltas pacaidean ùra ann an stòran agus atharrachaidhean a dhèanamh air pasganan a chaidh a phostadh roimhe, thathas a’ cleachdadh an inneal Pasgan Feeds, a bhios ag aonachadh obair le stòran NPM, PyPI, Go, RubyGems, Packagist, NuGet agus Crate.
Tha mion-sgrùdadh pacaid a’ toirt a-steach trì pàirtean bunaiteach a ghabhas cleachdadh an dà chuid còmhla agus air leth:
- Clàr-ama airson obair sgrùdaidh pacaid a chuir air bhog stèidhichte air dàta bho Package Feeds.
- Mion-sgrùdaire a nì sgrùdadh dìreach air pasgan agus a nì measadh air a ghiùlan a’ cleachdadh mion-sgrùdadh statach agus dòighean lorg fiùghantach. Tha an deuchainn air a dhèanamh ann an àrainneachd iomallach.
- Luchdan a chuireas toraidhean an deuchainn ann an stòradh BigQuery.
Source: fosgailtenet.ru