OpenSSF (Mokhatlo oa Ts'ireletso ea Mohloli o Bulehileng), o thehiloeng ke mokhatlo Linux Foundation и нацеленный на повышение безопасности открытого ПО, представил открытый проект Package Analysis, развивающий систему анализа наличия вредоносного кода в пакетах. Код проекта написан на языке Go и распространяется под лицензией Apache 2.0. Предварительное сканирование рпозиториев NPM и PyPI при помощи предложенного инструментария позволило выявить более 200 ранее не замеченных вредоносных пакетов.
Bongata ba liphutheloana tse nang le bothata bo qotsitsoeng bo theola mateano a mabitso a nang le litšepiso tse ka hare tsa merero e seng ea sechaba (tlhaselo ea pherekano ea ho itšetleha) kapa sebelisa mekhoa ea ho thaepa (ho fana ka mabitso a tšoanang le a lilaebrari tse tsebahalang), hape le ho letsetsa mangolo a fihlellang batho ba tsoang kantle nakong ea mokhoa oa ho kenya. Ho ea ka bahlahisi ba Package Analysis, boholo ba liphutheloana tse nang le mathata tse fumanoeng li ka etsahala hore ebe li entsoe ke bafuputsi ba ts'ireletso ba kenyang letsoho mananeong a bounty bug, kaha data e rometsoeng e lekanyelitsoe ho mosebedisi le lebitso la tsamaiso, 'me liketso li etsoa ka mokhoa o hlakileng, ntle le boiteko ba ho pata boitšoaro ba bona .
Liphutheloana tse nang le ts'ebetso e mpe li kenyelletsa:
- PyPI-пакет discordcmd, в котором зафиксирована отправка нетипичных запросов к raw.githubusercontent.com, Discord API и ipinfo.io. Указанный пакет загружал код бэкдора с GitHub и устанавливал его в каталог Windows-клиента Discord, после чего запускал процесс поиска токенов Discord в файловой системе и отправки их на внешний Discord-сервер, подконтрольный атакующим.
- NPM-пакет colorsss, который также пытался пересылать на внешний seva токены от учётной записи в Discord.
- Sephutheloana sa NPM @roku-web-core/ajax - nakong ea ts'ebetso ea ho kenya se rometse lintlha mabapi le sistimi mme sa qala sebatli (reverse shell) se amohetseng likhokahano tsa kantle le ho qala litaelo.
- PyPI secrevthree sephutheloana - e hlahisitse khetla e ka morao ha e kenya mojule o itseng.
- NPM sephutheloana sa "vouchercode-generator" - ka mor'a ho kenya laeborari, e rometse kopo ho seva sa kantle, se ileng sa khutlisa taelo le nako eo e lokelang ho tsamaisoa ka eona.
Mosebetsi oa Package Analysis o theohela ho sekaseka liphutheloana tsa khoutu mohloling oa mohloli oa ho theha likhokahano tsa marang-rang, ho fihlella lifaele le ho tsamaisa litaelo. Ho feta moo, liphetoho tsa boemo ba liphutheloana li behiloe leihlo ho fumana hore na ho kenyelletsoa ka lonya ho e 'ngoe ea lintlafatso tsa software e neng e se na kotsi qalong. Ho beha leihlo ponahalo ea liphutheloana tse ncha libakeng tsa polokelo le ho etsa liphetoho ho liphutheloana tse neng li ngotsoe pele, ho sebelisoa sephutheloana sa Package Feeds, se kopanyang mosebetsi le NPM, PyPI, Go, RubyGems, Packagist, NuGet le Crate repositories.
Package Analysis e kenyelletsa likarolo tse tharo tsa mantlha tse ka sebelisoang hammoho le ka thoko:
- Kemiso ea ho qala mosebetsi oa tlhahlobo ea sephutheloana o ipapisitse le data e tsoang ho Package Feeds.
- Mohlahlobi ea hlahlobang sephutheloana ka kotloloho mme a lekola boitšoaro ba sona a sebelisa tlhahlobo e tsitsitseng le mekhoa e matla ea ho latela. Teko e etsoa sebakeng se ka thōko.
- Sesebelisoa se behang liphetho tsa liteko polokelong ea BigQuery.
Source: opennet.ru
