ಸಂಸ್ಥೆಯಿಂದ ರಚಿಸಲ್ಪಟ್ಟ ಓಪನ್ಎಸ್ಎಸ್ಎಫ್ (ಓಪನ್ ಸೋರ್ಸ್ ಸೆಕ್ಯುರಿಟಿ ಫೌಂಡೇಶನ್) Linux Foundation и нацеленный на повышение безопасности открытого ПО, представил открытый проект Package Analysis, развивающий систему анализа наличия вредоносного кода в пакетах. Код проекта написан на языке Go и распространяется под лицензией Apache 2.0. Предварительное сканирование рпозиториев NPM и PyPI при помощи предложенного инструментария позволило выявить более 200 ранее не замеченных вредоносных пакетов.
ಗುರುತಿಸಲಾದ ಹೆಚ್ಚಿನ ಸಮಸ್ಯಾತ್ಮಕ ಪ್ಯಾಕೇಜ್ಗಳು ಆಂತರಿಕ, ಸಾರ್ವಜನಿಕವಲ್ಲದ ಯೋಜನೆಯ ಅವಲಂಬನೆಗಳೊಂದಿಗೆ ಹೆಸರಿನ ಘರ್ಷಣೆಯನ್ನು ಕುಶಲತೆಯಿಂದ ನಿರ್ವಹಿಸುತ್ತವೆ (ಅವಲಂಬನೆ ಗೊಂದಲ ದಾಳಿಗಳು) ಅಥವಾ ಟೈಪೊಸ್ಕ್ವಾಟಿಂಗ್ ತಂತ್ರಗಳನ್ನು ಬಳಸುತ್ತವೆ (ಜನಪ್ರಿಯ ಗ್ರಂಥಾಲಯಗಳಿಗೆ ಹೋಲುವ ಹೆಸರುಗಳನ್ನು ನಿಯೋಜಿಸುವುದು), ಮತ್ತು ಅನುಸ್ಥಾಪನೆಯ ಸಮಯದಲ್ಲಿ ಬಾಹ್ಯ ಹೋಸ್ಟ್ಗಳನ್ನು ಪ್ರವೇಶಿಸುವ ಸ್ಕ್ರಿಪ್ಟ್ಗಳನ್ನು ಸಹ ಆಹ್ವಾನಿಸುತ್ತವೆ. ಪ್ಯಾಕೇಜ್ ವಿಶ್ಲೇಷಣೆ ಅಭಿವರ್ಧಕರ ಪ್ರಕಾರ, ಗುರುತಿಸಲಾದ ಹೆಚ್ಚಿನ ಸಮಸ್ಯಾತ್ಮಕ ಪ್ಯಾಕೇಜ್ಗಳನ್ನು ದೋಷ ಬೌಂಟಿ ಕಾರ್ಯಕ್ರಮಗಳಲ್ಲಿ ಭಾಗವಹಿಸುವ ಭದ್ರತಾ ಸಂಶೋಧಕರು ರಚಿಸಿರಬಹುದು, ಏಕೆಂದರೆ ಸಲ್ಲಿಸಿದ ಡೇಟಾವು ಬಳಕೆದಾರಹೆಸರು ಮತ್ತು ಸಿಸ್ಟಮ್ ಹೆಸರಿಗೆ ಸೀಮಿತವಾಗಿರುತ್ತದೆ ಮತ್ತು ಕ್ರಿಯೆಗಳನ್ನು ಅವರ ನಡವಳಿಕೆಯನ್ನು ಮರೆಮಾಡಲು ಪ್ರಯತ್ನಿಸದೆ ಸ್ಪಷ್ಟವಾಗಿ ನಿರ್ವಹಿಸಲಾಗುತ್ತದೆ.
ದುರುದ್ದೇಶಪೂರಿತ ಚಟುವಟಿಕೆಯನ್ನು ಹೊಂದಿರುವ ಪ್ಯಾಕೇಜ್ಗಳಲ್ಲಿ, ಈ ಕೆಳಗಿನವುಗಳನ್ನು ಗುರುತಿಸಲಾಗಿದೆ:
- PyPI-пакет discordcmd, в котором зафиксирована отправка нетипичных запросов к raw.githubusercontent.com, Discord API и ipinfo.io. Указанный пакет загружал код бэкдора с GitHub и устанавливал его в каталог Windows-клиента Discord, после чего запускал процесс поиска токенов Discord в файловой системе и отправки их на внешний Discord-сервер, подконтрольный атакующим.
- NPM-пакет colorsss, который также пытался пересылать на внешний ಸರ್ವರ್ токены от учётной записи в Discord.
- NPM ಪ್ಯಾಕೇಜ್ @roku-web-core/ajax ಅನುಸ್ಥಾಪನೆಯ ಸಮಯದಲ್ಲಿ ಸಿಸ್ಟಮ್ ಡೇಟಾವನ್ನು ಕಳುಹಿಸುತ್ತದೆ ಮತ್ತು ಬಾಹ್ಯ ಸಂಪರ್ಕಗಳನ್ನು ಸ್ವೀಕರಿಸುವ ಮತ್ತು ಆಜ್ಞೆಗಳನ್ನು ಚಲಾಯಿಸುವ ಹ್ಯಾಂಡ್ಲರ್ (ರಿವರ್ಸ್ ಶೆಲ್) ಅನ್ನು ಪ್ರಾರಂಭಿಸುತ್ತದೆ.
- ಒಂದು ನಿರ್ದಿಷ್ಟ ಮಾಡ್ಯೂಲ್ ಅನ್ನು ಆಮದು ಮಾಡಿಕೊಂಡಾಗ PyPI ಪ್ಯಾಕೇಜ್ ಸೀಕ್ರೆವ್ಥ್ರೀ ರಿವರ್ಸ್ ಶೆಲ್ ಅನ್ನು ರನ್ ಮಾಡಿತು.
- ಯಾದೃಚ್ಛಿಕ-ವೋಚರ್ಕೋಡ್-ಜನರೇಟರ್ NPM ಪ್ಯಾಕೇಜ್, ಲೈಬ್ರರಿಯನ್ನು ಆಮದು ಮಾಡಿಕೊಂಡ ನಂತರ, ಬಾಹ್ಯ ಸರ್ವರ್ಗೆ ವಿನಂತಿಯನ್ನು ಕಳುಹಿಸಿತು, ಅದು ಆಜ್ಞೆ ಮತ್ತು ಅದನ್ನು ಚಲಾಯಿಸಬೇಕಾದ ಸಮಯವನ್ನು ಹಿಂತಿರುಗಿಸಿತು.
ಪ್ಯಾಕೇಜ್ ವಿಶ್ಲೇಷಣೆಯು ನೆಟ್ವರ್ಕ್ ಸಂಪರ್ಕಗಳನ್ನು ಸ್ಥಾಪಿಸಲು, ಫೈಲ್ಗಳನ್ನು ಪ್ರವೇಶಿಸಲು ಮತ್ತು ಆಜ್ಞೆಗಳನ್ನು ಚಲಾಯಿಸಲು ಬಳಸುವ ಪ್ಯಾಕೇಜ್ಗಳ ಮೂಲ ಕೋಡ್ ಅನ್ನು ವಿಶ್ಲೇಷಿಸುತ್ತದೆ. ಹೆಚ್ಚುವರಿಯಾಗಿ, ಆರಂಭದಲ್ಲಿ ಸೌಮ್ಯವಾದ ಸಾಫ್ಟ್ವೇರ್ ಬಿಡುಗಡೆಗೆ ದುರುದ್ದೇಶಪೂರಿತ ಕೋಡ್ ಸೇರ್ಪಡೆಯನ್ನು ಪತ್ತೆಹಚ್ಚಲು ಪ್ಯಾಕೇಜ್ ಸ್ಥಿತಿಗಳಲ್ಲಿನ ಬದಲಾವಣೆಗಳನ್ನು ಮೇಲ್ವಿಚಾರಣೆ ಮಾಡಲಾಗುತ್ತದೆ. NPM, PyPI, Go, RubyGems, Packagist, NuGet ಮತ್ತು Crate ರೆಪೊಸಿಟರಿಗಳೊಂದಿಗೆ ಕೆಲಸ ಮಾಡಲು ಏಕೀಕೃತ ಸಾಧನವಾದ ಪ್ಯಾಕೇಜ್ ಫೀಡ್ಗಳನ್ನು ರೆಪೊಸಿಟರಿಗಳಲ್ಲಿ ಹೊಸ ಪ್ಯಾಕೇಜ್ಗಳನ್ನು ಮತ್ತು ಅಸ್ತಿತ್ವದಲ್ಲಿರುವ ಪ್ಯಾಕೇಜ್ಗಳಲ್ಲಿನ ಬದಲಾವಣೆಗಳನ್ನು ಮೇಲ್ವಿಚಾರಣೆ ಮಾಡಲು ಬಳಸಲಾಗುತ್ತದೆ.
ಪ್ಯಾಕೇಜ್ ವಿಶ್ಲೇಷಣೆಯು ಮೂರು ಮೂಲಭೂತ ಘಟಕಗಳನ್ನು ಒಳಗೊಂಡಿದೆ, ಇವುಗಳನ್ನು ಒಟ್ಟಿಗೆ ಅಥವಾ ಪ್ರತ್ಯೇಕವಾಗಿ ಬಳಸಬಹುದು:
- ಪ್ಯಾಕೇಜ್ ಫೀಡ್ಗಳ ಡೇಟಾವನ್ನು ಆಧರಿಸಿ ಪ್ಯಾಕೇಜ್ ವಿಶ್ಲೇಷಣೆ ಕೆಲಸಗಳನ್ನು ನಡೆಸಲು ವೇಳಾಪಟ್ಟಿ ಮಾಡುವವರು.
- ಸ್ಥಿರ ವಿಶ್ಲೇಷಣೆ ಮತ್ತು ಕ್ರಿಯಾತ್ಮಕ ಪತ್ತೆಹಚ್ಚುವಿಕೆ ವಿಧಾನಗಳನ್ನು ಬಳಸಿಕೊಂಡು ಪ್ಯಾಕೆಟ್ ಅನ್ನು ನೇರವಾಗಿ ಪರಿಶೀಲಿಸುವ ಮತ್ತು ಅದರ ನಡವಳಿಕೆಯನ್ನು ಮೌಲ್ಯಮಾಪನ ಮಾಡುವ ವಿಶ್ಲೇಷಕ. ತಪಾಸಣೆಯನ್ನು ಪ್ರತ್ಯೇಕ ಪರಿಸರದಲ್ಲಿ ನಡೆಸಲಾಗುತ್ತದೆ.
- ಸ್ಕ್ಯಾನ್ ಫಲಿತಾಂಶಗಳನ್ನು BigQuery ಸಂಗ್ರಹಣೆಯಲ್ಲಿ ಇರಿಸುವ ಲೋಡರ್.
ಮೂಲ: opennet.ru
