NOTÍCIAS

[ANONYMOUS][grids]

Análise de pacotes – Ferramenta OpenSSf para detectar pacotes maliciosos em repositórios populares de código aberto

Tempo de leitura: 1min

Leia também

 



Uma versão protótipo da ferramenta Package Analysis foi lançada recentemente pela Open Source Security Foundation (OpenSSF), e é a primeira do tipo a ser publicada.

Usando esta ferramenta, você pode identificar ataques maliciosos contra registros de código aberto em tempo real e combatê-los. Pouco tempo após seu lançamento no GitHub, essa ferramenta identificou mais de 200 pacotes maliciosos usando npm e PyPI em uma execução piloto que durou menos de um mês.

Este projeto analisa os pacotes encontrados em repositórios de código aberto para descobrir: - 

  • Como eles se comportam? 
  • Que capacidades eles têm?
  • Quais arquivos eles acessam?
  • A quais endereços eles se conectam?
  • Quais comandos eles executam?

Ferramenta robusta para verificar repositórios de código aberto

Este repositório abriga ferramentas que são usadas para analisar pacotes de software de código aberto, em particular, malware nos seguintes pacotes:- 

  • pacotes npm
  • Pacotes PyPI

Como resultado desse esforço, o software de código aberto será mais bem protegido por meio dos seguintes relatórios:-

  • Detecção de comportamento malicioso.
  • Informar os consumidores na seleção de embalagens.
  • Fornecer aos pesquisadores dados sobre o ecossistema.

Existe um pacote malicioso que foi identificado pela Análise de Pacotes entre todos os pacotes suspeitos: 'colorsss'. Embora este pacote tenha sido considerado anteriormente malicioso.


Quase todos os pacotes encontrados contêm um script simples que é executado e solicita alguns detalhes sobre o host de casa durante o processo de instalação.

Na maioria dos casos, esses pacotes são criados por pesquisadores de segurança que procuram encontrar recompensas de bugs como parte de um programa de recompensas de bugs.

Não há tentativa de ocultar seu comportamento, e a maioria deles é capaz de extrair informações significativas do sistema como: -

  • Nome da máquina/sistema
  • Nome do usuário

Objetivos futuros

Aqui abaixo mencionamos todos os objetivos futuros da ferramenta Package Analysis: -

  • A capacidade de detectar alterações no comportamento do pacote ao longo do tempo.
  • Os resultados da análise da embalagem podem ser processados ​​automaticamente após o recebimento.
  • Para manter a análise de longo prazo das embalagens armazenadas, elas são armazenadas à medida que são processadas.
  • O pipeline ganhará maior confiabilidade, melhorando sua eficiência do pipeline.


Tags: