អ្នកវិភាគត្រូវបានបោះពុម្ពផ្សាយដែលកំណត់អត្តសញ្ញាណកញ្ចប់ព្យាបាទចំនួន 200 នៅក្នុង NPM និង PyPI

អង្គការ OpenSSF (Open Source Security Foundation) ដែលបង្កើតឡើងដោយអង្គការនេះ Linux Foundation и нацеленный на повышение безопасности открытого ПО, представил открытый проект Package Analysis, развивающий систему анализа наличия вредоносного кода в пакетах. Код проекта написан на языке Go и распространяется под лицензией Apache 2.0. Предварительное сканирование рпозиториев NPM и PyPI при помощи предложенного инструментария позволило выявить более 200 ранее не замеченных вредоносных пакетов.

ភាគច្រើននៃកញ្ចប់បញ្ហាដែលកំណត់អត្តសញ្ញាណរៀបចំការប្រសព្វនៃឈ្មោះជាមួយនឹងភាពអាស្រ័យខាងក្នុងដែលមិនមែនជាសាធារណៈនៃគម្រោង (ការវាយប្រហារភាពច្របូកច្របល់ក្នុងភាពអាស្រ័យ) ឬប្រើវិធីសាស្ត្រ typosquatting (កំណត់ឈ្មោះស្រដៀងនឹងឈ្មោះបណ្ណាល័យពេញនិយម) ហើយក៏ហៅស្គ្រីបដែលចូលប្រើម៉ាស៊ីនខាងក្រៅកំឡុងពេល ដំណើរការដំឡើង។ យោងតាមអ្នកអភិវឌ្ឍន៍នៃការវិភាគកញ្ចប់ ភាគច្រើននៃកញ្ចប់បញ្ហាដែលបានកំណត់អត្តសញ្ញាណទំនងជាត្រូវបានបង្កើតឡើងដោយអ្នកស្រាវជ្រាវសុវត្ថិភាពដែលចូលរួមក្នុងកម្មវិធី bug bounty ចាប់តាំងពីទិន្នន័យដែលបានផ្ញើត្រូវបានកំណត់ចំពោះអ្នកប្រើប្រាស់ និងឈ្មោះប្រព័ន្ធ ហើយសកម្មភាពត្រូវបានអនុវត្តយ៉ាងច្បាស់លាស់ដោយគ្មានការព្យាយាម។ លាក់អាកប្បកិរិយារបស់ពួកគេ។

កញ្ចប់ដែលមានសកម្មភាពព្យាបាទរួមមាន:

• PyPI-пакет discordcmd, в котором зафиксирована отправка нетипичных запросов к raw.githubusercontent.com, Discord API и ipinfo.io. Указанный пакет загружал код бэкдора с GitHub и устанавливал его в каталог Windows-клиента Discord, после чего запускал процесс поиска токенов Discord в файловой системе и отправки их на внешний Discord-сервер, подконтрольный атакующим.
• NPM-пакет colorsss, который также пытался пересылать на внешний ម៉ាស៊ីនមេ токены от учётной записи в Discord.
• កញ្ចប់ NPM @roku-web-core/ajax - ក្នុងអំឡុងពេលដំណើរការដំឡើង វាបានបញ្ជូនទិន្នន័យអំពីប្រព័ន្ធ និងបើកដំណើរការឧបករណ៍ដោះស្រាយ (សែលបញ្ច្រាស) ដែលទទួលយកការតភ្ជាប់ខាងក្រៅ និងចាប់ផ្តើមពាក្យបញ្ជា។
• កញ្ចប់ PyPI secrevthree - ចាប់ផ្តើមសែលបញ្ច្រាសនៅពេលនាំចូលម៉ូឌុលជាក់លាក់។
• NPM package random-vouchercode-generator - បន្ទាប់ពីនាំចូលបណ្ណាល័យ វាបានផ្ញើសំណើទៅម៉ាស៊ីនមេខាងក្រៅ ដែលត្រឡប់ពាក្យបញ្ជា និងពេលវេលាដែលវាគួរតែដំណើរការ។

ការងារនៃការវិភាគកញ្ចប់ចុះមកដើម្បីវិភាគកញ្ចប់កូដនៅក្នុងកូដប្រភពសម្រាប់បង្កើតការតភ្ជាប់បណ្តាញ ការចូលប្រើឯកសារ និងដំណើរការពាក្យបញ្ជា។ លើសពីនេះទៀត ការផ្លាស់ប្តូរនៅក្នុងស្ថានភាពនៃកញ្ចប់ត្រូវបានត្រួតពិនិត្យដើម្បីកំណត់ការបន្ថែមនៃការបញ្ចូលព្យាបាទនៅក្នុងការចេញផ្សាយមួយនៃកម្មវិធីដំបូងដែលមិនបង្កគ្រោះថ្នាក់។ ដើម្បីតាមដានរូបរាងនៃកញ្ចប់ថ្មីនៅក្នុងឃ្លាំង និងធ្វើការផ្លាស់ប្តូរកញ្ចប់ដែលបានបង្ហោះពីមុន កញ្ចប់ឧបករណ៍ព័ត៌មានកញ្ចប់ត្រូវបានប្រើ ដែលបង្រួបបង្រួមការងារជាមួយឃ្លាំង NPM, PyPI, Go, RubyGems, Packagist, NuGet និង Crate repositories ។

ការវិភាគកញ្ចប់រួមមានធាតុផ្សំជាមូលដ្ឋានចំនួនបីដែលអាចប្រើបានទាំងការភ្ជាប់គ្នា និងដោយឡែកពីគ្នា៖

• កម្មវិធីកំណត់ពេលសម្រាប់ដំណើរការការវិភាគកញ្ចប់ដំណើរការដោយផ្អែកលើទិន្នន័យពី Package Feeds។
• ឧបករណ៍វិភាគដែលពិនិត្យដោយផ្ទាល់នូវកញ្ចប់មួយ និងវាយតម្លៃឥរិយាបថរបស់វាដោយប្រើការវិភាគឋិតិវន្ត និងបច្ចេកទេសតាមដានថាមវន្ត។ ការធ្វើតេស្តនេះត្រូវបានអនុវត្តនៅក្នុងបរិយាកាសដាច់ស្រយាល។
• កម្មវិធីផ្ទុកដែលដាក់លទ្ធផលតេស្តទៅក្នុងកន្លែងផ្ទុក BigQuery ។

ប្រភព: opennet.ru