پرو هوسٽر > بلاگ > انٽرنيٽ خبرون > هڪ تجزيي شايع ڪيو ويو آهي جنهن جي نشاندهي ڪئي وئي آهي 200 بدسلوڪي پيڪيجز NPM ۽ PyPI ۾

هڪ تجزيي شايع ڪيو ويو آهي جنهن جي نشاندهي ڪئي وئي آهي 200 بدسلوڪي پيڪيجز NPM ۽ PyPI ۾

OpenSSF (اوپن سورس سيڪيورٽي فائونڊيشن)، لينڪس فائونڊيشن پاران ٺهرايو ويو ۽ اوپن سورس سافٽ ويئر جي سيڪيورٽي کي بهتر بڻائڻ جو مقصد، اوپن پروجيڪٽ پيڪيج تجزيه متعارف ڪرايو، جيڪو پيڪيجز ۾ بدسلوڪي ڪوڊ جي موجودگي جو تجزيو ڪرڻ لاء هڪ سسٽم ٺاهي ٿو. پروجيڪٽ ڪوڊ Go ۾ لکيل آهي ۽ Apache 2.0 لائسنس تحت ورهايو ويو آهي. تجويز ڪيل اوزار استعمال ڪندي NPM ۽ PyPI ذخيرن جي هڪ ابتدائي اسڪين اسان کي 200 کان وڌيڪ اڳيئي اڻ ڄاتل خراب پيڪيجز جي سڃاڻپ ڪرڻ جي اجازت ڏني.

سڃاڻپ ٿيل مشڪلاتي پيڪيجز جو وڏو حصو منصوبن جي اندروني غير عوامي انحصار سان نالن جي چونڪ کي ترتيب ڏئي ٿو (انحصار مونجهارو حملو) يا ٽائپاسڪيٽنگ طريقا استعمال ڪن ٿا (مشهور لائبريرين جي نالن سان ملندڙ نالن کي تفويض ڪرڻ) ۽ پڻ ڪال اسڪرپٽ جيڪي خارجي ميزبان تائين رسائي ڪن ٿا. انسٽاليشن جي عمل. پيڪيج تجزيي جي ڊولپرز جي مطابق، سڀ کان وڌيڪ سڃاڻپ ٿيل مشڪلاتي پيڪيجز اڪثر ڪري سيڪيورٽي محققن پاران ٺاهيا ويا آهن جيڪي بگ فضل پروگرامن ۾ حصو وٺندا آهن، ڇاڪاڻ ته موڪليل ڊيٽا صارف ۽ سسٽم جي نالي تائين محدود آهي، ۽ ڪارناما واضح طور تي انجام ڏنا ويا آهن، بغير ڪنهن ڪوشش جي. انهن جي رويي کي لڪايو.

بدسلوڪي سرگرمي سان پيڪيجز شامل آهن:

  • PyPI پيڪيج discordcmd، جيڪو raw.githubusercontent.com، Discord API ۽ ipinfo.io ڏانهن غير معمولي درخواستون موڪلڻ کي رڪارڊ ڪري ٿو. بيان ڪيل پيڪيج گيٽ هب مان بيڪ ڊور ڪوڊ ڊائون لوڊ ڪيو ۽ ان کي ڊسڪورڊ ونڊوز ڪلائنٽ ڊاريڪٽري ۾ انسٽال ڪيو، جنهن کان پوءِ ان فائل سسٽم ۾ ڊسڪارڊ ٽوڪن ڳولڻ جو عمل شروع ڪيو ۽ انهن کي حملي ڪندڙن جي ڪنٽرول ٿيل ٻاهرين ڊسڪور سرور ڏانهن موڪلڻ جو عمل شروع ڪيو.
  • Colorsss NPM پيڪيج پڻ ڪوشش ڪئي ٽوڪن موڪلڻ لاءِ Discord اڪائونٽ کان ٻاهرين سرور ڏانهن.
  • NPM پيڪيج @roku-web-core/ajax - انسٽاليشن جي عمل دوران هن سسٽم بابت ڊيٽا موڪليو ۽ هڪ هينڊلر (ريورس شيل) شروع ڪيو جيڪو قبول ڪيو خارجي ڪنيڪشن ۽ لانچ ڪيل حڪم.
  • PyPI پيڪيج secrevthree - هڪ مخصوص ماڊل درآمد ڪرڻ وقت هڪ ريورس شيل شروع ڪيو.
  • NPM پيڪيج random-vouchercode-generator - لائبريري کي درآمد ڪرڻ کان پوء، ان کي هڪ خارجي سرور ڏانهن هڪ درخواست موڪلي وئي، جنهن کي حڪم ڏنو ويو ۽ وقت جنهن تي ان کي هلائڻ گهرجي.

پيڪيج تجزيي جو ڪم نيٽ ورڪ ڪنيڪشن قائم ڪرڻ، فائلن تائين رسائي، ۽ حڪم هلائڻ لاء سورس ڪوڊ ۾ ڪوڊ پيڪيجز جو تجزيو ڪرڻ لاء هيٺ اچي ٿو. اضافي طور تي، پيڪيجز جي حالت ۾ تبديلين جي نگراني ڪئي وئي آهي ته شروعاتي طور تي بي ضرر سافٽ ويئر جي رليز مان هڪ ۾ بدسلوڪي داخلن جي اضافي کي طئي ڪرڻ لاء. مخزنن ۾ نون پيڪيجز جي ظاهري جي نگراني ڪرڻ ۽ اڳوڻي پوسٽ ٿيل پيڪيجز ۾ تبديليون ڪرڻ لاءِ، پيڪيج فيڊز ٽول ڪٽ استعمال ڪيو ويندو آهي، جيڪو NPM، PyPI، Go، RubyGems، Packagist، NuGet ۽ Crate repositories سان ڪم کي متحد ڪري ٿو.

پيڪيج جي تجزيي ۾ ٽي بنيادي جزا شامل آھن جيڪي استعمال ڪري سگھجن ٿا گڏيل ۽ الڳ الڳ:

  • پيڪيج فيڊز مان ڊيٽا جي بنياد تي پيڪيج تجزيي جي ڪم کي شروع ڪرڻ لاءِ شيڊيولر.
  • هڪ تجزيي ڪندڙ جيڪو سڌو سنئون هڪ پيڪيج کي جانچيندو آهي ۽ جامد تجزيو ۽ متحرڪ ٽريڪنگ ٽيڪنالاجي استعمال ڪندي ان جي رويي جو جائزو وٺندو آهي. امتحان هڪ الڳ ماحول ۾ ڪيو ويندو آهي.
  • هڪ لوڊر جيڪو رکي ٿو ٽيسٽ جا نتيجا BigQuery اسٽوريج ۾.

جو ذريعو: opennet.ru

تبصرو شامل ڪريو