ʻO ka OpenSSF (Open Source Security Foundation), i hoʻokumu ʻia e ka Linux Foundation a me ka manaʻo e hoʻomaikaʻi i ka palekana o ka polokalamu open source, ua hoʻolauna i ka Open Project Package Analysis, kahi e hoʻomohala ai i kahi ʻōnaehana no ka nānā ʻana i ka loaʻa ʻana o nā code malicious i nā pūʻolo. Ua kākau ʻia ke code papahana ma Go a māhele ʻia ma lalo o ka laikini Apache 2.0. ʻO ka nānā mua ʻana i nā waihona waihona NPM a me PyPI me ka hoʻohana ʻana i nā mea hana i manaʻo ʻia e ʻae iā mākou e ʻike ma mua o 200 mau pūʻulu ʻino i ʻike ʻole ʻia.
ʻO ka hapa nui o nā pūʻolo pilikia i ʻike ʻia e hoʻopunipuni i ka hui ʻana o nā inoa me nā mea hilinaʻi ʻole o ka lehulehu o nā papahana (dependency confusion attack) a i ʻole e hoʻohana i nā ala typosquatting (ka hāʻawi ʻana i nā inoa e like me nā inoa o nā hale waihona puke kaulana), a kāhea pū i nā palapala e komo ai i nā mea hoʻokipa waho i ka wā. ke kaʻina hana hoʻokomo. Wahi a nā mea hoʻomohala o Package Analysis, ʻo ka hapa nui o nā pōʻai pilikia i ʻike ʻia i hana ʻia e nā mea noiʻi palekana e komo ana i nā papahana bug bounty, no ka mea ua kaupalena ʻia ka ʻikepili i hoʻouna ʻia i ka mea hoʻohana a me ka inoa ʻōnaehana, a ua hana ʻia nā hana me ka maopopo ʻole, me ka ʻole o ka hoʻāʻo ʻana. huna i ko lakou ano .
Aia nā pūʻolo me nā hana ʻino:
- PyPI package discordcmd, e hoʻopaʻa ana i ka hoʻouna ʻana i nā noi atypical i raw.githubusercontent.com, Discord API a me ipinfo.io. Ua hoʻoiho ka pūʻolo i ka code backdoor mai GitHub a hoʻokomo iā ia i ka papa kuhikuhi o ka mea kūʻai aku Discord Windows, a laila hoʻomaka i ke kaʻina hana o ka ʻimi ʻana i nā hōʻailona Discord i ka ʻōnaehana faila a hoʻouna iā lākou i kahi kikowaena Discord waho i mālama ʻia e nā mea hoʻouka.
- Ua ho'āʻo pū ka pūʻolo NPM colorss e hoʻouna i nā hōʻailona mai kahi moʻokāki Discord i kahi kikowaena waho.
- NPM pūʻolo @roku-web-core/ajax - i ka wā o ka hoʻouka ʻana ua hoʻouna ʻo ia i ka ʻikepili e pili ana i ka ʻōnaehana a hoʻokuʻu i kahi mea hoʻokele (reverse shell) i ʻae i nā pilina o waho a hoʻomaka i nā kauoha.
- PyPI pūʻolo secrevthree - hoʻokuʻu i kahi pūpū hope i ka wā e lawe mai ai i kahi module kikoʻī.
- NPM pūʻolo random-vouchercode-generator - ma hope o ka lawe ʻana i ka waihona, ua hoʻouna ʻo ia i kahi noi i kahi kikowaena waho, nāna i hoʻihoʻi i ke kauoha a me ka manawa e holo ai.
Ke iho nei ka hana o ka Package Analysis i ka nānā ʻana i nā pūʻolo code i ke kumu kumu no ka hoʻokumu ʻana i nā pilina pūnaewele, ke komo ʻana i nā faila, a me nā kauoha holo. Hoʻohui ʻia, nānā ʻia nā loli i ke kūlana o nā pūʻolo no ka hoʻoholo ʻana i ka hoʻohui ʻana o nā mea hoʻokomo ʻino i kekahi o nā hoʻokuʻu ʻana o nā polokalamu ʻino ʻole. No ka nānā ʻana i ke ʻano o nā pūʻolo hou i loko o nā waihona a hana i nā hoʻololi i nā pūʻolo i kau mua ʻia, hoʻohana ʻia ka hāmeʻa Package Feeds, kahi e hui pū ai me ka NPM, PyPI, Go, RubyGems, Packagist, NuGet a me Crate repositories.
Hoʻokomo ʻia ka ʻikepili ʻana i ʻekolu mau mea maʻamau i hiki ke hoʻohana ʻia i ka hui pū ʻana a i ʻole:
- Mea hoʻonohonoho no ka hoʻomaka ʻana i ka hana loiloi pūʻolo ma muli o ka ʻikepili mai Package Feeds.
- He mea loiloi e nānā pono ana i kahi pūʻolo a loiloi i kāna ʻano me ka hoʻohana ʻana i ka loiloi static a me nā ʻenehana huli ikaika. Hana ʻia ka hoʻāʻo ma kahi kaʻawale.
- He mea hoʻouka e hoʻokomo i nā hopena hoʻāʻo i loko o kahi waihona BigQuery.
Source: opennet.ru