Linux temel destekli bir girişim olan Open Source Güvenlik Vakfı (OpenSSF), 'Paket Analizi' aracının ilk prototip sürümünü açık kaynak kayıtlarına kötü niyetli saldırıları yakalamayı ve bunlara karşı koymayı amaçlayan ilk prototip sürümünü yayınladı.
Bir aydan az süren bir pilot çalışmada, GitHub'da yayınlanan açık kaynak projesi, 200'den fazla kötü amaçlı NPM ve PYPI paketini belirleyebildi.
Bu hafta OpenSSF, GitHub'daki 'Paket Analizi' projesinin ilk prototip versiyonunu yayınladı.
Proje deposu, özellikle kötü amaçlı NPM ve PYPI paketlerini avlamak için açık kaynak paketlerini analiz eden araçlar içerir.
"Paket analizi projesi, açık kaynak depolarında bulunan paketlerin davranışını ve yeteneklerini anlamaya çalışıyor: hangi dosyalara erişiyorlar, hangi adreslere bağlanıyorlar ve hangi komutları çalıştırıyorlar?" OpenSSF'nin Kritik Projeler Çalışma Grubu'nu güvence altına alan Caleb Brown ve David A. Wheeler'ı açıklar.
"Proje ayrıca, daha önce güvenli yazılımın şüpheli davranmaya başladığını belirlemek için paketlerin zaman içinde nasıl davrandığında değişiklikleri izliyor."
OpenSSF'ye göre, bir ayın altında süren test çalışmasında paket analizi 200'den fazla kötü amaçlı PYPI ve NPM bileşenini belirleyebildi.
Openssf, bu kötü niyetli paketlerin büyük çoğunluğunun bağımlılık karışıklığı ve yazım hatası saldırıları olduğunu söylüyor.
Paket analizi ile tanımlanan tüm kötü amaçlı paketler arasında, bunlardan biri daha önce kötü niyetli kabul edilen 'renkler' dir:
'Renksss' paketi, ilk olarak BleepingComputer tarafından bildirildiği gibi, seçkin sürümleri bu Ocak ayında geliştiricisi tarafından sabote edilen popüler renkler NPM kütüphanesinin bir yazım hatasıdır.
Açık kaynak güvenlik firması Sonatype'den BleepingComputer tarafından elde edilen paketin arşivlenmiş bir kopyasına göre, Renkler Kütüphanesi'nden bazı meşru dosyalar içermenin yanı sıra, kötü amaçlı 'Colorsss' paketleri gizlenmiş kötü amaçlı yazılımları şaşırttı:
'Rolesss' deki gizlenmiş kod, kötü niyetli NPM paketleri arasında tekrar eden bir tema olan Discord Jeton Stealers içerir.
"Proje bir süredir geliştirilmesine rağmen, son zamanlarda ilk deneyimlere dayanan kapsamlı değişikliklerin ardından yararlı hale geldi."
"Bu projeye katılım için birçok fırsat var ve gelecekteki hedeflerine katkıda bulunmak isteyen herkese hoş geldiniz ... paket davranışındaki farklılıkları zaman içinde tespit etmek; paket analizi sonuçlarının işlenmesini otomatikleştirmek; paketleri kendileri olarak saklamak uzun vadeli analiz için işlenir; ve boru hattının güvenilirliğini artırır. "
Tam Açıklama: OpenSSF Grubu Toplantılarına üye olarak düzenli olarak katılıyorum. Kötü niyetli yazım hatası, parçada bahsedilen 'renkler' daha önce beni içeren Sonatype Güvenlik Araştırma Ekibi tarafından analiz edilmişti.
NPM Koşusu, saldırganların kötü amaçlı paketlere bakıcı olarak kimseyi eklemesine izin ver
Üçüncü NPM Protesto yazılımı: 'Etkinlik-Source-Polyfill' Rusya'yı Çağırıyor
Büyük sabotaj: Ünlü NPM Paketi, Ukrayna Savaşı'nı protesto etmek için dosyaları siliyor
Kimlik avı saldırıları hedef ülkeleri Ukraynalı mültecilere yardım ediyor
Google, bir Conti fidye yazılımı erişim brokerinin taktiklerini ortaya çıkarır
Kaynak: Bleeping Computer