ОпенССФ (Опен Соурце Сецурити Фоундатион), коју је формирала Линукс фондација и која има за циљ унапређење безбедности софтвера отвореног кода, увела је отворени пројекат Пацкаге Аналисис, који развија систем за анализу присуства злонамерног кода у пакетима. Код пројекта је написан у Го и дистрибуиран под лиценцом Апацхе 2.0. Прелиминарно скенирање НПМ и ПиПИ спремишта помоћу предложених алата омогућило нам је да идентификујемо више од 200 раније неоткривених злонамерних пакета.
Већина идентификованих проблематичних пакета манипулише пресеком имена са интерним нејавним зависностима пројеката (напад конфузије зависности) или користи методе куцања (додељивање имена сличних именима популарних библиотека), а такође позива скрипте које приступају спољним хостовима током процес инсталације. Према речима програмера Пацкаге Аналисис, већину идентификованих проблематичних пакета највероватније су креирали истраживачи безбедности који учествују у програмима за прикупљање грешака, пошто су подаци који се шаљу ограничени на име корисника и система, а радње се обављају експлицитно, без покушаја да се сакрију своје понашање.
Пакети са злонамерном активношћу укључују:
- ПиПИ пакет дисцордцмд, који бележи слање нетипичних захтева на рав.гитхубусерцонтент.цом, Дисцорд АПИ и ипинфо.ио. Наведени пакет је преузео бацкдоор код са ГитХуб-а и инсталирао га у директоријум Дисцорд Виндовс клијента, након чега је започео процес тражења Дисцорд токена у систему датотека и њиховог слања на екстерни Дисцорд сервер који контролишу нападачи.
- Цолорсс НПМ пакет је такође покушао да пошаље токене са Дисцорд налога на спољни сервер.
- НПМ пакет @року-веб-цоре/ајак - током процеса инсталације послао је податке о систему и покренуо обрађивач (обрнуту љуску) који прихвата екстерне везе и покреће команде.
- ПиПИ пакет сецревтхрее - покренуо је обрнуту шкољку приликом увоза одређеног модула.
- НПМ пакет рандом-воуцхерцоде-генератор - након увоза библиотеке, послао је захтев екстерном серверу, који је вратио команду и време у којем би требало да се покрене.
Рад анализе пакета своди се на анализу пакета кода у изворном коду за успостављање мрежних веза, приступ датотекама и покретање команди. Поред тога, прате се промене у стању пакета како би се утврдило додавање злонамерних уметања у једном од издања првобитно безопасног софтвера. За праћење појављивања нових пакета у репозиторијумима и уношење измена у претходно постављене пакете, користи се комплет алата Пацкаге Феедс, који обједињује рад са НПМ, ПиПИ, Го, РубиГемс, Пацкагист, НуГет и Црате репозиторијумима.
Анализа пакета укључује три основне компоненте које се могу користити и заједно и одвојено:
- Планер за покретање рада анализе пакета на основу података из пакета.
- Анализатор који директно испитује пакет и процењује његово понашање користећи технике статичке анализе и динамичког праћења. Тест се спроводи у изолованом окружењу.
- Учитавач који ставља резултате теста у БигКуери складиште.
Извор: опеннет.ру