L-OpenSSF (Open Source Security Foundation), iffurmata mill-Linux Foundation u mmirata biex ittejjeb is-sigurtà tas-softwer open source, introduċiet il-proġett miftuħ Package Analysis, li jiżviluppa sistema għall-analiżi tal-preżenza ta 'kodiċi malizzjuż f'pakketti. Il-kodiċi tal-proġett huwa miktub f'Go u mqassam taħt il-liċenzja Apache 2.0. Skennjar preliminari tar-repożitorji NPM u PyPI bl-użu tal-għodod proposti ppermettitilna nidentifikaw aktar minn 200 pakkett malizzjuż li ma nstabux qabel.
Il-biċċa l-kbira tal-pakketti problematiċi identifikati jimmanipulaw l-intersezzjoni ta 'ismijiet ma' dipendenzi interni mhux pubbliċi ta 'proġetti (attakk ta' konfużjoni ta 'dipendenza) jew jużaw metodi ta' typosquatting (assenjaw ismijiet simili għall-ismijiet ta 'libreriji popolari), u jsejħu wkoll skripts li jaċċessaw hosts esterni matul il-proċess ta 'installazzjoni. Skont l-iżviluppaturi tal-Analiżi tal-Pakketti, ħafna mill-pakketti problematiċi identifikati x'aktarx inħolqu minn riċerkaturi tas-sigurtà li pparteċipaw fi programmi ta' bug bounty, peress li d-dejta mibgħuta hija limitata għall-isem tal-utent u tas-sistema, u l-azzjonijiet jitwettqu b'mod espliċitu, mingħajr tentattivi biex jaħbu l-imġieba tagħhom.
Pakketti b'attività malizzjuża jinkludu:
- Pakkett PyPI discordcmd, li jirreġistra l-bgħit ta' talbiet atipiċi lil raw.githubusercontent.com, Discord API u ipinfo.io. Il-pakkett speċifikat niżżel il-kodiċi tal-backdoor minn GitHub u installah fid-direttorju tal-klijenti Discord Windows, u wara beda l-proċess ta 'tiftix għal tokens Discord fis-sistema tal-fajls u jibgħathom lil server Discord estern ikkontrollat mill-attakkanti.
- Il-pakkett colorss NPM ipprova wkoll jibgħat tokens minn kont Discord għal server estern.
- Pakkett NPM @roku-web-core/ajax - matul il-proċess ta 'installazzjoni bagħat dejta dwar is-sistema u nediet handler (reverse shell) li aċċetta konnessjonijiet esterni u nieda kmandi.
- Pakkett PyPI secrevthree - nediet qoxra reverse meta timporta modulu speċifiku.
- Pakkett NPM random-vouchercode-generator - wara li jimporta l-librerija, bagħat talba lil server estern, li rritorna l-kmand u l-ħin li fih għandu jitmexxa.
Ix-xogħol tal-Analiżi tal-Pakketti jasal għall-analiżi tal-pakketti tal-kodiċi fil-kodiċi tas-sors biex jiġu stabbiliti konnessjonijiet tan-netwerk, aċċess għal fajls, u tmexxija tal-kmandi. Barra minn hekk, il-bidliet fl-istat tal-pakketti huma mmonitorjati biex jiddeterminaw iż-żieda ta 'inserzjonijiet malizzjużi f'wieħed mir-rilaxxi ta' softwer inizjalment li ma jagħmilx ħsara. Biex tissorvelja d-dehra ta 'pakketti ġodda fir-repożitorji u tagħmel bidliet għal pakketti stazzjonati qabel, jintuża l-pakkett ta' għodda Feeds, li jgħaqqad ix-xogħol mar-repożitorji NPM, PyPI, Go, RubyGems, Packagist, NuGet u Crate.
L-Analiżi tal-Pakkett tinkludi tliet komponenti bażiċi li jistgħu jintużaw kemm flimkien kif ukoll separatament:
- Scheduler għat-tnedija ta' xogħol ta' analiżi ta' pakkett ibbażat fuq data minn Package Feeds.
- Analizzatur li jeżamina direttament pakkett u jevalwa l-imġieba tiegħu billi juża analiżi statika u tekniki ta' traċċar dinamiku. It-test jitwettaq f'ambjent iżolat.
- A loader li jqiegħed ir-riżultati tat-test fil-ħażna BigQuery.
Sors: opennet.ru