Chociaż natura oprogramowania open source dyktuje, że kod musi zostać przejrzany przez każdego, jego otwarty charakter oznacza również, że atakujący lub osoby o innych intencjach mogą czasami wymykać się niewłaściwemu kodowi, nie zdając sobie z tego sprawy. Aby rozwiązać ten problem, Google obiecał wesprzeć projekt analizy pakietów Open Source Security Foundation (OpenSSF).
Zasadniczo Google pomoże OpenSSF dynamicznie analizować pakiety open source na dużą skalę, z wynikami przechowywanymi w BigQuery. Gwarantuje to, że jeśli złośliwe pakiety zostaną przesłane do popularnych repozytoriów, konsumenci zostaną ostrzeżeni. Google wierzy, że ten proces zapewni również lepsze zrozumienie bezpieczeństwa łańcucha dostaw i sprawi, że ekosystem jako całość będzie bezpieczniejszy.
Aby w tym pomóc, Google zaczął od analizy 200 szkodliwych pakietów przesłanych do PyPI i NPM w ciągu miesiąca. Chociaż pełne wyniki są dostępne w tabeli BigQuery tutaj , Google przedstawił kilka najważniejszych informacji.
Pakiet Pythona „discordcmd” w PyPI pobierze backdoora w tle, a następnie zainstaluje go w kliencie poczty e-mail Windows Discord. Pozwoli mu to na rozpoznanie lokalnych baz danych i przekazanie danych tokena Discord API na serwer atakującego.
Podobnie „@roku-web-core/ajax” w NPM wydobędzie informacje o maszynie, otworzy odwróconą powłokę i pozwoli na zdalne wykonywanie poleceń. Google zauważył jednak ciekawe odkrycie:
Pakiety, które znaleźliśmy, zwykle zawierają prosty skrypt, który uruchamia się podczas instalacji i przekazuje informacje o hoście. Pakiety te są najprawdopodobniej dziełem badaczy bezpieczeństwa szukających nagród za błędy, ponieważ większość z nich nie wydobywa znaczących danych innych niż nazwa komputera lub nazwa użytkownika i nie próbują ukrywać swojego zachowania.
Dlatego Google stwierdził, że niewielka trudność w zaciemnianiu większości pakietów wskazuje, że pochodzą one od badaczy bezpieczeństwa i nie stanowią poważnego zagrożenia. Oznacza to jednak również, że osoba atakująca może spowodować nieodwracalne szkody osobom, które instalują zainfekowane pakiety.
Firma podkreśliła, że istnieje silna potrzeba walidacji pakietów przesłanych do repozytorium za pomocą otwartego standardu raportowania w celu scentralizowania wyników i zapewnienia przejrzystości.
Dodaj komentarz