Az OpenSSF (Nyílt Forráskódú Biztonsági Alapítvány), amelyet a szervezet hozott létre Linux Foundation и нацеленный на повышение безопасности открытого ПО, представил открытый проект Package Analysis, развивающий систему анализа наличия вредоносного кода в пакетах. Код проекта написан на языке Go и распространяется под лицензией Apache 2.0. Предварительное сканирование рпозиториев NPM и PyPI при помощи предложенного инструментария позволило выявить более 200 ранее не замеченных вредоносных пакетов.
Az azonosított problémás csomagok nagy része manipulálja a nevek metszéspontját a projektek belső, nem nyilvános függőségeivel (függőségi zavaros támadás), vagy typosquatting módszereket használ (a népszerű könyvtárak nevéhez hasonló neveket rendel), valamint olyan szkripteket hív meg, amelyek külső gazdagépekhez férnek hozzá a telepítési folyamat. A Package Analysis fejlesztői szerint a legtöbb azonosított problémás csomagot nagy valószínűséggel bug bounty programokban részt vevő biztonsági kutatók hozták létre, mivel az elküldött adatok a felhasználó és a rendszer nevére korlátozódnak, és a műveleteket kifejezetten, anélkül hajtják végre, elrejteni viselkedésüket.
A rosszindulatú tevékenységet tartalmazó csomagok a következők:
- PyPI-пакет discordcmd, в котором зафиксирована отправка нетипичных запросов к raw.githubusercontent.com, Discord API и ipinfo.io. Указанный пакет загружал код бэкдора с GitHub и устанавливал его в каталог Windows-клиента Discord, после чего запускал процесс поиска токенов Discord в файловой системе и отправки их на внешний Discord-сервер, подконтрольный атакующим.
- NPM-пакет colorsss, который также пытался пересылать на внешний szerveren токены от учётной записи в Discord.
- NPM csomag @roku-web-core/ajax - a telepítési folyamat során adatokat küldött a rendszerről, és elindított egy kezelőt (reverse shell), amely elfogadta a külső kapcsolatokat és elindította a parancsokat.
- Secrevthree PyPI csomag – egy adott modul importálásakor egy fordított shellt indított el.
- NPM csomag random-vouchercode-generator - a könyvtár importálása után kérést küldött egy külső szervernek, amely visszaadta a parancsot és a futtatás időpontját.
A Package Analysis munkája a forráskódban található kódcsomagok elemzésében rejlik a hálózati kapcsolatok létrehozásához, a fájlok eléréséhez és a parancsok futtatásához. Ezen túlmenően a csomagok állapotában bekövetkezett változásokat figyelik annak megállapítására, hogy a kezdetben ártalmatlan szoftverek valamelyik kiadásában nem kerültek-e be rosszindulatú beillesztések. Az új csomagok lerakatokban való megjelenésének figyelésére és a korábban közzétett csomagok módosítására a Package Feeds eszközkészletet használják, amely egyesíti a munkát az NPM, PyPI, Go, RubyGems, Packagist, NuGet és Crate tárolókkal.
A csomagelemzés három alapvető összetevőt tartalmaz, amelyek együtt és külön-külön is használhatók:
- Ütemező a csomagelemzési munka elindításához a Package Feeds adatai alapján.
- Egy elemző, amely közvetlenül megvizsgál egy csomagot, és statikus elemzéssel és dinamikus nyomkövetési technikákkal értékeli annak viselkedését. A vizsgálatot elszigetelt környezetben végzik.
- Betöltő, amely a teszteredményeket a BigQuery tárolóba helyezi.
Forrás: opennet.ru
