Linux ဖောင်ဒေးရှင်းမှ ဖွဲ့စည်းထားသော OpenSSF (Open Source Security Foundation) သည် open source software ၏ လုံခြုံရေးကို ပိုမိုကောင်းမွန်စေရန် ရည်ရွယ်၍ packages များတွင် malicious code ပါဝင်မှုကို ခွဲခြမ်းစိတ်ဖြာသည့်စနစ်အား ဖန်တီးပေးသည့် open project Package Analysis ကို မိတ်ဆက်ပေးခဲ့သည်။ ပရောဂျက်ကုဒ်ကို Go တွင်ရေးထားပြီး Apache 2.0 လိုင်စင်အောက်တွင် ဖြန့်ဝေထားသည်။ အဆိုပြုထားသောကိရိယာများကို အသုံးပြု၍ NPM နှင့် PyPI သိုလှောင်ရာနေရာများ၏ ပဏာမစကန်ဖတ်ခြင်းမှ ကျွန်ုပ်တို့အား ယခင်က မတွေ့နိုင်သော အန္တရာယ်ရှိသော ပက်ကေ့ခ်ျ 200 ကျော်ကို ရှာဖွေဖော်ထုတ်နိုင်စေခဲ့သည်။
ဖော်ထုတ်ထားသော ပြဿနာရှိသော ပက်ကေ့ဂျ်အများစုသည် ပရောဂျက်များ၏ အတွင်းအများပြည်သူမဟုတ်သော မှီခိုမှုဖြင့် အမည်များလမ်းဆုံကို ကြိုးကိုင်ခြယ်လှယ်သည် (မှီခိုရှုပ်ထွေးမှုတိုက်ခိုက်မှု) သို့မဟုတ် typosquatting နည်းလမ်းများ (လူကြိုက်များသော စာကြည့်တိုက်များ၏ အမည်များနှင့် ဆင်တူသောအမည်များကို သတ်မှတ်ပေးခြင်း) နှင့် ပြင်ပ hosts များအတွင်း ဝင်ရောက်နိုင်သော script များကိုလည်း ခေါ်ပါသည်။ တပ်ဆင်မှုလုပ်ငန်းစဉ်။ ပက်ကေ့ဂျ်ခွဲခြမ်းစိတ်ဖြာမှု၏ developer များအဆိုအရ၊ ခွဲခြားသတ်မှတ်ထားသော ပြဿနာရှိသော ပက်ကေ့ဂျ်အများစုကို bug bounty ပရိုဂရမ်များတွင် ပါ၀င်သော လုံခြုံရေးသုတေသီများက ဖန်တီးထားနိုင်သည်၊ အဘယ်ကြောင့်ဆိုသော် ပေးပို့သည့်ဒေတာသည် အသုံးပြုသူနှင့် စနစ်အမည်ကို ကန့်သတ်ထားသောကြောင့် ပေးပို့လိုက်သော လုပ်ဆောင်ချက်များကို ပြတ်သားစွာလုပ်ဆောင်ခြင်းမရှိဘဲ၊ သူတို့ရဲ့ အပြုအမူကို ဖုံးကွယ်ထားလိုက်ပါ။
အန္တရာယ်ရှိသော လုပ်ဆောင်ချက်ပါရှိသော အထုပ်များတွင်-
- raw.githubusercontent.com၊ Discord API နှင့် ipinfo.io သို့ ပုံမှန်တောင်းဆိုချက်များကို ပေးပို့သည့် PyPI ပက်ကေ့ချ် discordcmd။ သတ်မှတ်ထားသော ပက်ကေ့ခ်ျသည် GitHub မှ နောက်ခံကုဒ်ကို ဒေါင်းလုဒ်လုပ်ပြီး Discord Windows ကုဒ်ကို ဖိုင်စနစ်ရှိ Discord တိုကင်များကို ရှာဖွေခြင်း လုပ်ငန်းစဉ်ကို စတင်ပြီး တိုက်ခိုက်သူများ ထိန်းချုပ်ထားသော ပြင်ပ Discord ဆာဗာသို့ ပေးပို့ပြီးနောက် ၎င်းကို Discord Windows ကလိုင်းယင့်လမ်းညွှန်တွင် ထည့်သွင်းခဲ့သည်။
- Colorss NPM ပက်ကေ့ခ်ျသည် Discord အကောင့်မှ တိုကင်များကို ပြင်ပဆာဗာသို့ ပို့ရန်လည်း ကြိုးစားခဲ့သည်။
- NPM ပက်ကေ့ဂျ် @roku-web-core/ajax - တပ်ဆင်မှုလုပ်ငန်းစဉ်အတွင်း ၎င်းသည် စနစ်အကြောင်းဒေတာပေးပို့ပြီး ပြင်ပချိတ်ဆက်မှုများနှင့် အမိန့်များကိုလက်ခံသည့်ကိုင်တွယ်သူ (ပြောင်းပြန်အခွံ) ကို စတင်ခဲ့သည်။
- PyPI ပက်ကေ့ဂျ် secrevthree - တိကျသော module တစ်ခုတင်သွင်းသောအခါတွင် ပြောင်းပြန်အခွံတစ်ခုကို စတင်ခဲ့သည်။
- NPM ပက်ကေ့ချ် ကျပန်း-ဘောက်ချာကုဒ်-ဂျင်နရေတာ - စာကြည့်တိုက်ကို တင်သွင်းပြီးနောက်၊ ၎င်းသည် ပြင်ပဆာဗာတစ်ခုထံ တောင်းဆိုချက်တစ်ခု ပေးပို့ခဲ့ပြီး ၎င်းသည် အမိန့်နှင့် ၎င်းကို လုပ်ဆောင်ရမည့်အချိန်ကို ပြန်ပေးခဲ့သည်။
Package Analysis ၏အလုပ်သည် ကွန်ရက်ချိတ်ဆက်မှု၊ ဖိုင်များဝင်ရောက်ခြင်းနှင့် လုပ်ဆောင်နေသည့် command များအတွက် အရင်းအမြစ်ကုဒ်ရှိ ကုဒ်အစုံအလင်ကို ခွဲခြမ်းစိတ်ဖြာခြင်းမှ ဆင်းသက်လာသည်။ ထို့အပြင်၊ အစပိုင်းတွင် အန္တရာယ်မရှိသောဆော့ဖ်ဝဲလ်များ ထုတ်ဝေမှုတစ်ခုတွင် အန္တရာယ်ရှိသော ထည့်သွင်းမှုများ ထပ်တိုးခြင်းအား ဆုံးဖြတ်ရန် ပက်ကေ့ဂျ်အခြေအနေပြောင်းလဲမှုများကို စောင့်ကြည့်ပါသည်။ repositories တွင် ပက်ကေ့ဂျ်အသစ်များ၏ အသွင်အပြင်ကို စောင့်ကြည့်ရန်နှင့် ယခင်တင်ထားသော ပက်ကေ့ဂျ်များကို အပြောင်းအလဲပြုလုပ်ရန်၊ NPM၊ PyPI၊ Go၊ RubyGems၊ Packagist၊ NuGet နှင့် Crate repositories တို့နှင့် ပေါင်းစည်းထားသည့် Package Feeds toolkit ကို အသုံးပြုထားသည်။
ပက်ကေ့ဂျ် ခွဲခြမ်းစိတ်ဖြာခြင်းတွင် တွဲဖက်သုံးနိုင်ပြီး သီးခြားစီ အသုံးပြုနိုင်သည့် အခြေခံ အစိတ်အပိုင်း သုံးခု ပါဝင်သည်။
- Package Feeds မှ ဒေတာများကို အခြေခံ၍ ပက်ကေ့ဂျ်ခွဲခြမ်းစိတ်ဖြာမှုကို စတင်ရန် စီစဉ်သူ။
- အထုပ်တစ်ခုအား တိုက်ရိုက်စစ်ဆေးပြီး static analysis နှင့် dynamic tracing နည်းပညာများကို အသုံးပြု၍ ၎င်း၏အပြုအမူကို အကဲဖြတ်သည့် ခွဲခြမ်းစိတ်ဖြာသူ။ စမ်းသပ်မှုကို သီးခြားပတ်ဝန်းကျင်တွင် ပြုလုပ်သည်။
- စမ်းသပ်မှုရလဒ်များကို BigQuery သိုလှောင်မှုသို့ နေရာချပေးသည့် loader တစ်ခု။
source: opennet.ru