A ferramenta Package Analysis permite encontrar pacotes npm e PyPI maliciosos e foi lançada recentemente pela Open Source Security Foundation.
A Open Source Security Foundation (OpenSSF), uma iniciativa apoiada pela Linux Foundation, lançou sua primeira versão protótipo da ferramenta ‘Package Analysis’ que visa capturar e combater ataques maliciosos em registros de código aberto.
Package Analysis permite encontrar pacotes npm e PyPI maliciosos
Sim. O Package Analysis permite encontrar pacotes npm e PyPI maliciosos. Em uma execução piloto que durou menos de um mês, o projeto de código aberto lançado no GitHub conseguiu identificar mais de 200 pacotes maliciosos npm e PyPI.
E, esta semana, o OpenSSF lançou sua versão protótipo inicial do projeto ‘Package Analysis’ no GitHub.
O repositório do projeto contém ferramentas que analisam pacotes de código aberto, particularmente, para caçar pacotes maliciosos npm e PyPI.
“O projeto Package Analysis busca entender o comportamento e os recursos dos pacotes disponíveis em repositórios de código aberto: quais arquivos eles acessam, a quais endereços eles se conectam e quais comandos eles executam?” explicar Caleb Brown e David A. Wheeler, que estão envolvidos no grupo de trabalho Securing Critical Projects do OpenSSF.
“O projeto também rastreia as mudanças na forma como os pacotes se comportam ao longo do tempo, para identificar quando um software anteriormente seguro começa a agir de forma suspeita.”
Em seu teste que durou menos de um mês, o Package Analysis conseguiu identificar mais de 200 componentes maliciosos PyPI e npm, de acordo com o OpenSSF.
A grande maioria desses pacotes maliciosos, diz OpenSSF, são confusão de dependência e ataques de typosquatting.
Entre todos os pacotes maliciosos identificados pelo Package Analysis, um deles é ‘colorsss’ que foi anteriormente considerado malicioso:
O pacote ‘colorsss’ é um typosquat da popular biblioteca npm de cores, cujas versões selecionadas foram sabotadas por seu desenvolvedor em janeiro.
Além de conter alguns arquivos legítimos da biblioteca de cores, os pacotes maliciosos ‘colorsss’ ofuscam malware, de acordo com uma cópia arquivada do pacote obtida pela BleepingComputer da empresa de segurança de código aberto Sonatype:
O código ofuscado em ‘colorsss’ contém ladrões de token Discord, um tema recorrente entre os pacotes npm maliciosos.
“Embora o projeto esteja em desenvolvimento há algum tempo, ele só recentemente se tornou útil após extensas modificações com base nas experiências iniciais.”, afirma o OpenSSF em um post de blog divulgado esta semana.
"Há muitas oportunidades de envolvimento com este projeto, e damos as boas-vindas a qualquer pessoa interessada em contribuir para os objetivos futuros de... detectar diferenças no comportamento dos pacotes ao longo do tempo; automatizar o processamento dos resultados da Análise de Pacotes; armazenar os próprios pacotes conforme eles são processados para análise de longo prazo; e melhorando a confiabilidade do pipeline."
