L-OpenSSF (Open Source Security Foundation), iffurmata mill-organizzazzjoni Linux Foundation и нацеленный на повышение безопасности открытого ПО, представил открытый проект Package Analysis, развивающий систему анализа наличия вредоносного кода в пакетах. Код проекта написан на языке Go и распространяется под лицензией Apache 2.0. Предварительное сканирование рпозиториев NPM и PyPI при помощи предложенного инструментария позволило выявить более 200 ранее не замеченных вредоносных пакетов.
Il-biċċa l-kbira tal-pakketti problematiċi identifikati jimmanipulaw l-intersezzjoni ta 'ismijiet ma' dipendenzi interni mhux pubbliċi ta 'proġetti (attakk ta' konfużjoni ta 'dipendenza) jew jużaw metodi ta' typosquatting (assenjaw ismijiet simili għall-ismijiet ta 'libreriji popolari), u jsejħu wkoll skripts li jaċċessaw hosts esterni matul il-proċess ta 'installazzjoni. Skont l-iżviluppaturi tal-Analiżi tal-Pakketti, ħafna mill-pakketti problematiċi identifikati x'aktarx inħolqu minn riċerkaturi tas-sigurtà li pparteċipaw fi programmi ta' bug bounty, peress li d-dejta mibgħuta hija limitata għall-isem tal-utent u tas-sistema, u l-azzjonijiet jitwettqu b'mod espliċitu, mingħajr tentattivi biex jaħbu l-imġieba tagħhom.
Pakketti b'attività malizzjuża jinkludu:
- PyPI-пакет discordcmd, в котором зафиксирована отправка нетипичных запросов к raw.githubusercontent.com, Discord API и ipinfo.io. Указанный пакет загружал код бэкдора с GitHub и устанавливал его в каталог Windows-клиента Discord, после чего запускал процесс поиска токенов Discord в файловой системе и отправки их на внешний Discord-сервер, подконтрольный атакующим.
- NPM-пакет colorsss, который также пытался пересылать на внешний server токены от учётной записи в Discord.
- Pakkett NPM @roku-web-core/ajax - matul il-proċess ta 'installazzjoni bagħat dejta dwar is-sistema u nediet handler (reverse shell) li aċċetta konnessjonijiet esterni u nieda kmandi.
- Pakkett PyPI secrevthree - nediet qoxra reverse meta timporta modulu speċifiku.
- Pakkett NPM random-vouchercode-generator - wara li jimporta l-librerija, bagħat talba lil server estern, li rritorna l-kmand u l-ħin li fih għandu jitmexxa.
Ix-xogħol tal-Analiżi tal-Pakketti jasal għall-analiżi tal-pakketti tal-kodiċi fil-kodiċi tas-sors biex jiġu stabbiliti konnessjonijiet tan-netwerk, aċċess għal fajls, u tmexxija tal-kmandi. Barra minn hekk, il-bidliet fl-istat tal-pakketti huma mmonitorjati biex jiddeterminaw iż-żieda ta 'inserzjonijiet malizzjużi f'wieħed mir-rilaxxi ta' softwer inizjalment li ma jagħmilx ħsara. Biex tissorvelja d-dehra ta 'pakketti ġodda fir-repożitorji u tagħmel bidliet għal pakketti stazzjonati qabel, jintuża l-pakkett ta' għodda Feeds, li jgħaqqad ix-xogħol mar-repożitorji NPM, PyPI, Go, RubyGems, Packagist, NuGet u Crate.
L-Analiżi tal-Pakkett tinkludi tliet komponenti bażiċi li jistgħu jintużaw kemm flimkien kif ukoll separatament:
- Scheduler għat-tnedija ta' xogħol ta' analiżi ta' pakkett ibbażat fuq data minn Package Feeds.
- Analizzatur li jeżamina direttament pakkett u jevalwa l-imġieba tiegħu billi juża analiżi statika u tekniki ta' traċċar dinamiku. It-test jitwettaq f'ambjent iżolat.
- A loader li jqiegħed ir-riżultati tat-test fil-ħażna BigQuery.
Sors: opennet.ru
