ProHoster > Π‘Π»ΠΎΠ³ > warta internet > Analyzer wis diterbitake sing ngenali 200 paket angkoro ing NPM lan PyPI

Analyzer wis diterbitake sing ngenali 200 paket angkoro ing NPM lan PyPI

OpenSSF (Open Source Security Foundation), dibentuk dening Linux Foundation lan ngarahake kanggo ningkatake keamanan piranti lunak open source, ngenalake Open Project Package Analysis, sing ngembangake sistem kanggo nganalisa ananΓ© kode jahat ing paket. Kode proyek ditulis ing Go lan disebarake miturut lisensi Apache 2.0. Pindai awal repositori NPM lan PyPI nggunakake alat sing diusulake ngidini kita ngenali luwih saka 200 paket angkoro sing sadurunge ora dideteksi.

SebagΓ©an gedhΓ© paket masalah sing diidentifikasi ngapusi persimpangan jeneng karo dependensi non-publik internal proyek (serangan kebingungan dependensi) utawa nggunakake metode typosquatting (menehi jeneng sing padha karo jeneng perpustakaan populer), lan uga nelpon skrip sing ngakses host eksternal sajrone proses instalasi. Miturut pangembang Analisis Paket, umume paket masalah sing diidentifikasi paling mungkin digawe dening peneliti keamanan sing melu program hadiah bug, amarga data sing dikirim diwatesi kanggo pangguna lan jeneng sistem, lan tumindak kasebut ditindakake kanthi jelas, tanpa nyoba ndhelikake kelakuane.

Paket kanthi kegiatan angkoro kalebu:

  • Discordcmd paket PyPI, sing nyathet ngirim panjalukan atipikal menyang raw.githubusercontent.com, Discord API lan ipinfo.io. Paket kasebut ndownload kode backdoor saka GitHub lan diinstal ing direktori klien Discord Windows, sawise iku miwiti proses nggoleki token Discord ing sistem file lan dikirim menyang server Discord eksternal sing dikontrol dening panyerang.
  • Paket colorss NPM uga nyoba ngirim token saka akun Discord menyang server eksternal.
  • Paket NPM @roku-web-core/ajax - sajrone proses instalasi ngirim data babagan sistem lan ngluncurake handler (cangkang mbalikke) sing nampa sambungan eksternal lan ngluncurake perintah.
  • paket PyPI secrevthree - dibukak cangkang mbalikke nalika ngimpor modul tartamtu.
  • NPM paket random-vouchercode-generator - sawise ngimpor perpustakaan, dikirim panjalukan kanggo server external, kang bali printah lan wektu ing kang kudu mbukak.

Pakaryan Analisis Paket teka kanggo nganalisa paket kode ing kode sumber kanggo nggawe sambungan jaringan, ngakses file, lan mbukak perintah. Kajaba iku, owah-owahan ing kahanan paket dipantau kanggo nemtokake tambahan sisipan ala ing salah sawijining rilis piranti lunak sing ora mbebayani. Kanggo ngawasi tampilan paket anyar ing repositori lan nggawe owah-owahan menyang paket sing dikirim sadurunge, toolkit Feed Paket digunakake, sing nggabungake karya karo repositori NPM, PyPI, Go, RubyGems, Packagist, NuGet lan Crate.

Analisis Paket kalebu telung komponen dhasar sing bisa digunakake bebarengan lan kanthi kapisah:

  • Penjadwal kanggo ngluncurake karya analisis paket adhedhasar data saka Paket Feed.
  • Analisa sing langsung mriksa paket lan ngevaluasi prilaku nggunakake analisis statis lan teknik tracing dinamis. Tes kasebut ditindakake ing lingkungan sing terisolasi.
  • Loader sing nyelehake asil tes menyang panyimpenan BigQuery.

Source: opennet.ru

Add a comment