O le OpenSSF (Open Source Security Foundation), na fausia e le Linux Foundation ma faʻamoemoe e faʻaleleia le saogalemu o polokalama faʻapipiʻi tatala, faʻalauiloaina le Open Project Package Analysis, lea e atiaʻe ai se faiga mo le suʻesuʻeina o le i ai o tulafono leaga i totonu o afifi. O le faʻailoga o le poloketi o loʻo tusia i le Go ma tufatufaina i lalo o le laisene Apache 2.0. O se su'esu'ega muamua o fale teu oloa a le NPM ma le PyPI i le fa'aogaina o meafaigaluega fa'atonu na mafai ai ona matou fa'ailoa le sili atu i le 200 pusa leaga e le'i iloa muamua.
O le tele o faʻafitauli faʻafitauli ua faʻamaonia e faʻaogaina ai le fesoʻotaʻiga o igoa ma faʻalagolago i totonu e le o ni tagata lautele o galuega faatino (faʻalavelave faʻalavelave faʻalagolago) poʻo le faʻaogaina o metotia typosquatting (tuuina atu o igoa e tutusa ma igoa o faletusi lauiloa), ma valaʻau foʻi tusitusiga e maua ai au talimalo i fafo i le taimi. le fa'apipi'i fa'agasologa. E tusa ai ma le au atiaʻe o le Package Analysis, o le tele o faʻafitauli faʻafitauli na faʻaalia e foliga mai na faia e tagata suʻesuʻe saogalemu o loʻo auai i polokalame faʻatau pusa, talu ai o faʻamatalaga na lafoina e faʻatapulaʻa i le tagata faʻaoga ma le igoa o le polokalama, ma o gaioiga o loʻo faʻatinoina manino, e aunoa ma se taumafaiga e fai. nana a latou amio .
O afifi e iai gaioiga leaga e aofia ai:
- PyPI package discordcmd, o lo'o fa'amauina le tu'uina atu o talosaga fa'apitoa i raw.githubusercontent.com, Discord API ma ipinfo.io. O le afifi faʻamaonia na sii mai ai le backdoor code mai GitHub ma faʻapipiʻi i le Discord Windows client directory, ina ua maeʻa ona amata le faagasologa o le suʻeina o faʻailoga Discord i le faila faila ma tuʻuina atu i se server Discord fafo e pulea e le au osofaʻi.
- Na taumafai foi le afifi NPM lanu e lafo mai faailoga mai se Discord account i se server i fafo.
- NPM package @roku-web-core/ajax - i le taimi o le faʻapipiʻiina na tuʻuina atu faʻamatalaga e uiga i le faiga ma faʻalauiloa se faʻataʻitaʻiga (reverse shell) na talia fesoʻotaʻiga i fafo ma faʻalauiloa poloaiga.
- PyPI package secrevthree - fa'alauiloa se atigi fa'asaga i le fa'aulufaleina mai o se vaega fa'apitoa.
- NPM package random-vouchercode-generator - ina ua uma ona faaulufale mai le faletusi, na ia auina atu se talosaga i se server i fafo, lea na toe faafoi mai le poloaiga ma le taimi e tatau ai ona tamoe.
O le galuega a le Package Analysis e sau i lalo i le suʻesuʻeina o pusa code i le source code mo le faʻatulagaina o fesoʻotaʻiga fesoʻotaʻiga, faʻaogaina faila, ma faʻatonuga. E le gata i lea, o suiga i le tulaga o afifi o loʻo mataʻituina e fuafua ai le faʻaopoopoina o mea faʻapipiʻi leaga i totonu o se tasi o faʻasalalauga o polokalama muamua e le afaina. Ina ia mataʻituina foliga o afifi fou i fale teu oloa ma faia suiga i afifi na lafoina muamua, o le Package Feeds toolkit e faʻaaogaina, lea e tuʻufaʻatasia ai galuega ma le NPM, PyPI, Go, RubyGems, Packagist, NuGet ma Crate repositories.
Iloiloga o Paketi e aofia ai vaega autu e tolu e mafai ona faʻaogaina faʻatasi ma faʻapitoa:
- Fa'atonu mo le fa'alauiloaina o galuega su'esu'e o afifi e fa'atatau i fa'amaumauga mai Package Feeds.
- Ose su'esu'e e su'esu'e sa'o se afifi ma iloilo ana amio e fa'aaoga ai su'esu'ega fa'ata'ita'i ma auala fa'amalosi su'esu'e. O le su'ega e faia i se si'osi'omaga tu'ufua.
- O se uta e tu'u ai fa'ai'uga o su'ega i le teuina o BigQuery.
puna: opennet.ru