அந்த அமைப்பால் உருவாக்கப்பட்ட OpenSSF (Open Source Security Foundation), Linux Foundation и нацеленный на повышение безопасности открытого ПО, представил открытый проект Package Analysis, развивающий систему анализа наличия вредоносного кода в пакетах. Код проекта написан на языке Go и распространяется под лицензией Apache 2.0. Предварительное сканирование рпозиториев NPM и PyPI при помощи предложенного инструментария позволило выявить более 200 ранее не замеченных вредоносных пакетов.
அடையாளம் காணப்பட்ட சிக்கலான தொகுப்புகளில் பெரும்பாலானவை, திட்டங்களின் உள் பொது அல்லாத சார்புகளுடன் பெயர்களின் குறுக்குவெட்டைக் கையாளுகின்றன (சார்பு குழப்பம் தாக்குதல்) அல்லது தட்டச்சு முறைகளைப் பயன்படுத்துகின்றன (பிரபலமான நூலகங்களின் பெயர்களைப் போன்ற பெயர்களை வழங்குதல்), மேலும் வெளிப்புற ஹோஸ்ட்களை அணுகும் ஸ்கிரிப்ட்களை அழைக்கவும். நிறுவல் செயல்முறை. பேக்கேஜ் பகுப்பாய்வின் உருவாக்குநர்களின் கூற்றுப்படி, கண்டறியப்பட்ட சிக்கல் நிறைந்த தொகுப்புகளில் பெரும்பாலானவை பிழை பவுண்டி திட்டங்களில் பங்கேற்கும் பாதுகாப்பு ஆராய்ச்சியாளர்களால் உருவாக்கப்பட்டிருக்கலாம். அவர்களின் நடத்தையை மறைக்கவும்.
தீங்கிழைக்கும் செயல்பாடு கொண்ட தொகுப்புகள் பின்வருமாறு:
- PyPI-пакет discordcmd, в котором зафиксирована отправка нетипичных запросов к raw.githubusercontent.com, Discord API и ipinfo.io. Указанный пакет загружал код бэкдора с GitHub и устанавливал его в каталог Windows-клиента Discord, после чего запускал процесс поиска токенов Discord в файловой системе и отправки их на внешний Discord-сервер, подконтрольный атакующим.
- NPM-пакет colorsss, который также пытался пересылать на внешний சர்வர் токены от учётной записи в Discord.
- NPM தொகுப்பு @roku-web-core/ajax - நிறுவல் செயல்பாட்டின் போது அது கணினியைப் பற்றிய தரவை அனுப்பியது மற்றும் வெளிப்புற இணைப்புகளை ஏற்றுக்கொண்டு கட்டளைகளைத் தொடங்கும் ஹேண்ட்லரை (ரிவர்ஸ் ஷெல்) அறிமுகப்படுத்தியது.
- PyPI தொகுப்பு secrevthree - ஒரு குறிப்பிட்ட தொகுதியை இறக்குமதி செய்யும் போது ஒரு தலைகீழ் ஷெல் தொடங்கப்பட்டது.
- NPM தொகுப்பு random-vouchercode-generator - நூலகத்தை இறக்குமதி செய்த பிறகு, அது ஒரு வெளிப்புற சேவையகத்திற்கு ஒரு கோரிக்கையை அனுப்பியது, இது கட்டளை மற்றும் அதை இயக்க வேண்டிய நேரத்தை திருப்பி அனுப்பியது.
தொகுப்பு பகுப்பாய்வின் பணியானது பிணைய இணைப்புகளை நிறுவுதல், கோப்புகளை அணுகுதல் மற்றும் கட்டளைகளை இயக்குதல் ஆகியவற்றிற்கான மூலக் குறியீட்டில் உள்ள குறியீடு தொகுப்புகளை பகுப்பாய்வு செய்வதாகும். கூடுதலாக, ஆரம்பத்தில் பாதிப்பில்லாத மென்பொருளின் வெளியீடுகளில் ஒன்றில் தீங்கிழைக்கும் செருகல்களைச் சேர்ப்பதைத் தீர்மானிக்க, தொகுப்புகளின் நிலையில் மாற்றங்கள் கண்காணிக்கப்படுகின்றன. களஞ்சியங்களில் புதிய தொகுப்புகளின் தோற்றத்தைக் கண்காணிக்கவும், முன்னர் இடுகையிடப்பட்ட தொகுப்புகளில் மாற்றங்களைச் செய்யவும், NPM, PyPI, Go, RubyGems, Packagist, NuGet மற்றும் Crate களஞ்சியங்களுடன் பணியை ஒருங்கிணைக்கும் தொகுப்பு ஊட்டங்கள் கருவித்தொகுப்பு பயன்படுத்தப்படுகிறது.
தொகுப்பு பகுப்பாய்வு மூன்று அடிப்படை கூறுகளை உள்ளடக்கியது, அவை ஒன்றாகவும் தனித்தனியாகவும் பயன்படுத்தப்படலாம்:
- தொகுப்பு ஊட்டங்களிலிருந்து தரவின் அடிப்படையில் தொகுப்பு பகுப்பாய்வு பணியைத் தொடங்குவதற்கான திட்டமிடுபவர்.
- நிலையான பகுப்பாய்வு மற்றும் டைனமிக் டிரேசிங் நுட்பங்களைப் பயன்படுத்தி ஒரு தொகுப்பை நேரடியாக ஆய்வு செய்து அதன் நடத்தையை மதிப்பிடும் பகுப்பாய்வி. தனிமைப்படுத்தப்பட்ட சூழலில் சோதனை மேற்கொள்ளப்படுகிறது.
- சோதனை முடிவுகளை BigQuery சேமிப்பகத்தில் வைக்கும் ஏற்றி.
ஆதாரம்: opennet.ru
