Google har detaljerat en del av arbetet som gjorts för att hitta skadliga kodpaket som har smugits in i större program med öppen källkod.
Package Analysis Project är ett av initiativen för programvaruförsörjningskedjan från Linux Foundations Open Source Security Foundation (OpenSSF) som bör hjälpa till att automatisera processen att identifiera skadliga paket som distribueras på populära paketförråd, såsom npm för JavaScript och PyPl för Python. Den kör en dynamisk analys av alla paket som laddas upp till populära arkiv med öppen källkod. Det syftar till att tillhandahålla data om vanliga typer av skadliga paket och informera dem som arbetar med säkerhet i leveranskedjan med öppen källkod om hur man bäst kan förbättra den.
“Till skillnad från mobilappbutiker som kan söka efter och avvisa skadliga bidrag, har paketförråd begränsade resurser för att granska de tusentals dagliga uppdateringarna och måste upprätthålla en öppen modell där vem som helst kan bidra fritt. Som ett resultat kan skadliga paket som ua-parser-js , och node-ipc laddas regelbundet upp till populära arkiv trots deras bästa ansträngningar, med ibland förödande konsekvenser för användarna”, förklarar Caleb Brown från Googles säkerhetsteam för öppen källkod i ett blogginlägg.
“Trots öppen källkods viktiga roll i all mjukvara som byggs idag, är det alldeles för lätt för dåliga aktörer att cirkulera skadliga paket som attackerar systemen och användare som kör den programvaran.”
SER: Google: Flera hackningsgrupper använder kriget i Ukraina som ett lockbete i nätfiskeförsök
Paketanalysprojektet identifierade mer än 200 skadliga paket på en månad, enligt OpenSFF. Till exempel hittade den token-stöldattacker på Discord-användare som distribuerades på PyPl och npm. PyPl-paketet “discordcmd”, till exempel, attackerar Discord Windows-klienten via en bakdörr som laddas ner från GitHub och installeras på Discord-appen för att stjäla Discord-tokens.
Angripare distribuerar skadliga paket på npm och PyPl tillräckligt ofta för att det är något OpenSSF, som Google är medlem i, beslutade att det behövde åtgärdas.
I mars hittade forskare hundratals skadliga paket på npm som användes för att rikta sig mot utvecklare med hjälp av Microsofts Azure-moln, av vilka de flesta innehöll typosquatting och beroendeförvirringsattacker. Båda typerna är socialtekniska attacker som utnyttjar repetitiva steg när utvecklare ofta uppdaterar ett stort antal beroenden. Beroendeförvirringsattacker förlitar sig på ovanligt höga versionsnummer för ett paket som i själva verket kanske inte har någon tidigare version tillgänglig.
OpenSSF säger att de flesta av de skadliga paketen som upptäcktes var beroendeförvirring och skrivfelsattacker. Men projektet tror att de flesta av dessa sannolikt är ett arbete av säkerhetsforskare som deltar i buggar.
“De hittade paketen innehåller vanligtvis ett enkelt skript som körs under installationen och som ringer hem med några detaljer om värden. Dessa paket är troligen ett arbete av säkerhetsforskare som letar efter buggar, eftersom de flesta inte exfiltrerar meningsfull data förutom namnet på maskinen eller ett användarnamn, och de gör inga försök att dölja sitt beteende”, noterar OpenSSF och Google.
OpenSSF noterar att vilket som helst av dessa paket “kunde ha gjort mycket mer för att skada de olyckliga offren som installerade dem, så Package Analysis tillhandahåller en motåtgärd mot den här typen av attacker.”
Det senaste Log4j-felet belyste de allmänna riskerna med säkerhet i programvarans leveranskedja i öppen källkod. Komponenten var inbäddad i tiotusentals företagsapplikationer och föranledde en massiv och brådskande sanering av den amerikanska regeringen. Microsoft lyfte förra veckan också fram rollen av attacker från programvaruförsörjningskedjan utförda av ryska statsstödda hackare i samband med militära attacker mot Ukraina.
I februari pumpade Google och Microsoft in 5 miljoner dollar i OpenSSFs Alpha-Omega-projekt för att ta itu med säkerheten i försörjningskedjan. Alpha-sidan arbetar med underhållare av de mest kritiska open-source-projekten, medan Omega-sidan kommer att välja ut minst 10 000 allmänt distribuerade open-source-program för automatiserad säkerhetsanalys.
