ProHoster > Blog > nouvèl sou entènèt > Yo te pibliye yon analizè ki te idantifye 200 pakè move nan NPM ak PyPI

Yo te pibliye yon analizè ki te idantifye 200 pakè move nan NPM ak PyPI

OpenSSF (Open Source Security Foundation), ki te fòme pa òganizasyon an Linux Fondasyon an, ki gen pou objektif amelyore sekirite lojisyèl sous ouvè, te prezante pwojè analiz pake sous ouvè a, ki devlope yon sistèm pou analize pakè pou kòd move. Kòd pwojè a ekri nan Go epi li distribye anba lisans Apache 2.0 la. Yon analiz preliminè nan depo NPM ak PyPI lè l sèvi avèk zouti yo pwopoze a te idantifye plis pase 200 pakè move ki te pase inapèsi anvan.

Gwoup pakè pwoblèm idantifye yo manipile entèseksyon non ak depandans entèn ki pa piblik nan pwojè (atak konfizyon depandans) oswa itilize metòd typosquatting (bay non ki sanble ak non bibliyotèk popilè yo), epi tou rele scripts ki gen aksè a lame ekstèn pandan pwosesis enstalasyon an. Dapre devlopè yo nan analiz pakè yo, pi fò nan pakè ki gen pwoblèm idantifye yo te gen plis chans kreye pa chèchè sekirite k ap patisipe nan pwogram bounty ensèk yo, paske done yo voye yo limite a sa sèlman itilizatè a ak non sistèm, ak aksyon yo fèt klèman, san yo pa eseye. kache konpòtman yo.

Pake ki gen aktivite move yo enkli:

  • Yo te jwenn pake PyPI discordcmd la ap voye demann dwòl bay raw.githubusercontent.com, API Discord la, ak ipinfo.io. Pake sa a te telechaje kòd backdoor soti nan GitHub epi enstale li nan yon anyè. Windows- Kliyan Discord, apre sa li te lanse yon pwosesis pou chèche jeton Discord nan sistèm fichye a epi voye yo nan yon sèvè Discord ekstèn ke atakè yo kontwole.
  • NPM-пакет colorsss, который также пытался пересылать на внешний sèvè токены от учётной записи в Discord.
  • NPM package @roku-web-core/ajax - pandan pwosesis enstalasyon an li voye done sou sistèm nan epi li te lanse yon moun kap okipe (koki ranvèse) ki te aksepte koneksyon ekstèn ak lanse kòmandman.
  • PyPI pake secrevthree - te lanse yon kokiy ranvèse lè enpòte yon modil espesifik.
  • NPM pake random-vouchercode-generator - apre yo fin enpòte bibliyotèk la, li voye yon demann nan yon sèvè ekstèn, ki te retounen lòd la ak lè li ta dwe kouri.

Travay nan analiz pakè vini nan analize pakè kòd nan kòd sous la pou etabli koneksyon rezo, aksè nan dosye, ak kouri kòmandman. Anplis de sa, chanjman nan eta a nan pakè yo kontwole pou detèmine adisyon nan foure move nan youn nan degaje yo nan lojisyèl okòmansman inofansif. Pou kontwole aparans nouvo pakè yo nan depo yo epi fè chanjman nan pakè ki te deja afiche yo, yo itilize bwat zouti Package Feeds, ki inifye travay ak depo NPM, PyPI, Go, RubyGems, Packagist, NuGet ak Crate.

Analiz pake gen ladan twa eleman debaz ki ka itilize tou de ansanm ak separeman:

  • Planifikatè pou lanse travay analiz pake ki baze sou done ki soti nan Pake Feeds.
  • Yon analizè ki dirèkteman egzamine yon pake epi evalye konpòtman li lè l sèvi avèk analiz estatik ak teknik trase dinamik. Tès la fèt nan yon anviwònman izole.
  • Yon chajè ki mete rezilta tès yo nan depo BigQuery.

Sous: opennet.ru

Achte hosting serye pou sit ki gen pwoteksyon DDoS, sèvè VPS VDS 🔥 Achte yon hébergement sit entènèt serye ak pwoteksyon DDoS, sèvè VPS VDS | ProHoster