OpenSSF 2022年4月28日
作者 Caleb Brown 和 David A. Wheeler, 代表保护重要项目工作组 (Securing Critical Projects Working Group)
写在前面:软件供应链攻击之后,大家对开源软件的安全非常重视,除了像SCA这样的工具之外,很多工具也都开始检查开源组件中的恶意行为。OpenSSF的这个工具应该是很好的开始,谷歌也宣称给予支持。
今天我们很高兴地宣布了包分析项目的初始原型版本,开源软件安全基金会(Open Software Security Foundation, OpenSSF)这个项目解决了在常见的开源存储库中识别恶意包的问题。短短一个月的分析中,该项目识别出了超过200个上传的PyPI和npm恶意包。
Package Analysis项目试图理解开源代码存储库上可用包的行为和功能:它们访问什么文件,连接到什么地址,运行什么命令?该项目还跟踪包的行为随时间的变化,以识别曾经安全的软件何时开始可疑的行为。这一工作旨在通过检测恶意行为、告知消费者选择软件包以及向研究人员提供有关生态系统的数据来提高开源软件的安全性。尽管该项目已经进行了一段时间的开发,但根据最初的经验进行大量修改,直到最近才变得可用。
我们检测到的绝大多数恶意包都是依赖混淆和typosquatting(误植域名,也称作URL劫持,假URL等。这种劫持的方式通常有赖于用户在浏览器中输入网址时,犯下诸如错误拼写等错误。用户一旦不小心输入了一个错误的网址,便有可能被导向任何一个其他的网址)攻击。我们发现的包通常包含一个简单的脚本,在安装期间运行,并和控制服务器通讯,提供有关主机的一些细节。这些包很可能是安全研究人员为了寻找漏洞赏金所做的工作,因为大多数并不窃取有意义的数据,除了机器的名称或用户名,而且它们没有试图掩饰自己的行为。尽管如此,这些软件包中的任何一个都可能对安装它们的不幸受害者造成更大的伤害,因此Package Analysis提供了针对这类攻击的对策。
有很多机会参与这个项目,我们欢迎任何人有兴趣,并为以下目标做出贡献:
-
检测包行为随时间的变化;
-
自动化处理包分析结果;
-
在进行长期分析时存储包本身;
-
提高管道的可靠性。
开源“Package Analysis”发现恶意npm、PyPI包
2022年5月1日 Ax sharma
另据https://www.bleepingcomputer.com/news/security/open-source-package-analysis-tool-finds-malicious-npm-pypi-packages/ 报道,OpenSSF在GitHub上发布了Package Analysis原型版本,不到一个月,已经发现超过200个恶意npm和PyPI包。
发现的恶意包中,其中之一是“colorsss”。
“colorsss” 包是流行的 "colors" npm 库的仿冒域名,挑选被开发人员蓄意破坏的版本。除了包含来自colors 库的一些合法文件外,恶意的“colorsss”包还包含混淆的恶意软件:
如图所示,“colorsss”中的混淆代码包含 Discord 令牌窃取程序,这是在恶意npm包中反复出现的主题。
(完)
原文始发于微信公众号(安全行者老霍):OpenSSF Package Analysis:扫描开源软件包中的恶意行为
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论