D'OpenSSF (Open Source Security Foundation), gegrënnt vun der Organisatioun Linux Foundation и нацеленный на повышение безопасности открытого ПО, представил открытый проект Package Analysis, развивающий систему анализа наличия вредоносного кода в пакетах. Код проекта написан на языке Go и распространяется под лицензией Apache 2.0. Предварительное сканирование рпозиториев NPM и PyPI при помощи предложенного инструментария позволило выявить более 200 ранее не замеченных вредоносных пакетов.
De gréissten Deel vun den identifizéierten problemateschen Packagen manipuléieren d'Kräizung vun den Nimm mat internen net-ëffentlechen Ofhängegkeete vu Projeten (Ofhängegkeet Duercherneenattack) oder benotzen Typosquatting Methoden (Nimm ähnlech wéi d'Nimm vun de populäre Bibliothéiken zouzeschreiwen), an ruffen och Scripten déi Zougang zu externen Hosten wärend der Installatioun Prozess. Laut den Entwéckler vu Package Analysis sinn déi meescht vun den identifizéierten problemateschen Packagen héchstwahrscheinlech vu Sécherheetsfuerscher erstallt ginn, déi u Bug Bounty Programmer deelhuelen, well d'Daten, déi geschéckt ginn, limitéiert sinn op de Benotzer- a Systemnumm, an d'Aktiounen explizit ausgefouert ginn, ouni Versuche fir hiert Verhalen verstoppen.
Packagen mat béiswëlleg Aktivitéit enthalen:
- PyPI-пакет discordcmd, в котором зафиксирована отправка нетипичных запросов к raw.githubusercontent.com, Discord API и ipinfo.io. Указанный пакет загружал код бэкдора с GitHub и устанавливал его в каталог Windows-клиента Discord, после чего запускал процесс поиска токенов Discord в файловой системе и отправки их на внешний Discord-сервер, подконтрольный атакующим.
- NPM-пакет colorsss, который также пытался пересылать на внешний Server токены от учётной записи в Discord.
- NPM Package @roku-web-core/ajax - während dem Installatiounsprozess huet et Daten iwwer de System geschéckt an en Handler gestart (Reverse Shell) deen extern Verbindungen akzeptéiert an Kommandoen lancéiert huet.
- PyPI Package secrevthree - lancéiert eng ëmgedréint Shell beim Import vun engem spezifesche Modul.
- NPM Package random-vouchercode-generator - nom Import vun der Bibliothéik huet et eng Ufro un en externen Server geschéckt, deen de Kommando an d'Zäit zréckginn wou et soll lafen.
D'Aarbecht vun der Package Analysis kënnt erof op d'Analyse vu Code Packagen am Quellcode fir Netzwierkverbindungen z'etabléieren, Zougang zu Dateien a Kommandoen auszeféieren. Zousätzlech ginn Ännerungen am Zoustand vun de Packagen iwwerwaacht fir d'Additioun vu béiswëllegen Inserts an enger vun de Verëffentlechungen vun ufanks harmloser Software ze bestëmmen. Fir d'Erscheinung vun neie Packagen an de Repositories ze iwwerwaachen an Ännerunge vu virdru gepostene Packagen ze maachen, gëtt de Package Feeds Toolkit benotzt, wat d'Aarbecht mat den NPM, PyPI, Go, RubyGems, Packagist, NuGet a Crate Repositories vereenegt.
Package Analyse enthält dräi Basiskomponenten déi souwuel a Verbindung a separat kënne benotzt ginn:
- Scheduler fir d'Start vun Package Analyse Aarbecht baséiert op Daten aus Package Feeds.
- En Analysator deen e Package direkt ënnersicht a säi Verhalen mat statesch Analyse an dynamescher Tracing Techniken evaluéiert. Den Test gëtt an engem isoléierten Ëmfeld duerchgefouert.
- E Loader deen d'Testresultater an d'BigQuery Späichere placéiert.
Source: opennet.ru
