The OpenSSF (Open Source Foundation), a Linux Foundation et ad meliorem securitatem aperiendi fontis programmatum intendit, apertum project Analysin Sarcina introduxit, quae systema explicatur ad praesentiam malivoli codicis in fasciculis dividendis. In codice exertus scriptum est Go et sub Apache 2.0 licentia distributa. Scan praeliminarium NPM et PyPI repositoria utentes instrumenta proposita nobis permiserunt plus quam 200 ante invisa malitiosarum fasciculorum nos cognoscere.
Moles fasciculorum problematicorum notatorum intersectionem nominum manipulare cum dependentiis internis non-publicis consiliorum (dependentiae confusionis oppugnationis) vel methodis typosquattingis adhibitis (nomina similia nomina bibliothecarum popularium attribuens), ac etiam scripta vocant quae accessere externorum exercituum in institutionem processus. Secundum analysin sarcinarum analysin, pleraeque identificatae fasciculi problematici, verisimiliter creati sunt ab inquisitoribus securitatis programmatum largitionis cimex participandi, cum notitia missae limitatur ad nomen utentis et systematis, et actiones explicite peraguntur, sine conatibus. mores suos abscondere.
Packages cum malitiosa actione includit:
- PyPI involucrum discordcmd, quod refert petitiones atypicas mittens ad raw.githubusercontent.com, Discord API et ipinfo.io. Involucrum definitum ex GitHub posticum codicem detraxit et in Fenestra clientis Discord Discordiam instruxit, postquam processum incepit quaerendi Discordia signa in tabella systematis et mittendo ad Discordiam externam ab oppugnatoribus servo regente.
- Involucrum colorsss NPM etiam signa ex Discordia rationem mittere ad servo externo mittere conatus est.
- NPM involucrum @roku-web-core/ajax - per processum institutionem circa systema notitias misit et manubrium (inversa putamen) quod hospites externas acceperat et mandata immisit.
- PyPI involucrum secrevthree - testam inversam immissam cum certo modulo importans.
- NPM involucrum temere-vouchercode-generator - bibliothecam invecta, petitionem misit ad servo externo, qui mandatum et tempus reddidit quo currere debet.
Opus Analysis Sarcinae descendit ad sarcinas analysendas in codice fonte ad nexus retis constituendos, accessiones imaginum, et mandata currens. Accedit mutationes status sarcinarum monitores ad determinandas additiones malitiosae insertas in una emissione programmatum initio noxae. Monere speciem novarum sarcinarum in repositoriis et facere mutationes in fasciculis antea dispositis, Sarcina Feeds toolkit adhibetur, quae opus cum NPM, PyPI, Ite, RubyGems, Packagist, NuGet et Crate repositoria coniungit.
Analysis sarcina tria elementa fundamentalia includit, quae tam in conjunctione quam in divisim adhiberi possunt;
- Scheduler ad analysin involucrum deducendum opus fundatur in notitia ex Package Feeds.
- Analyser, qui sarcinam directe examinat et mores suos aestimat utendi analysi statice et dynamicae artes vestigationis. Expertus in ambitu solitario exercetur.
- Oneratus qui probat eventus in BigQuery reposita ponit.
Source: opennet.ru