Während die Natur von Open-Source-Software vorschreibt, dass der Code von jedem überprüft werden muss, bedeutet seine offene Natur auch, dass Angreifer oder Personen mit anderen Absichten manchmal den falschen Code einschleusen können, ohne dass es jemand merkt. Um dieses Problem zu lösen, hat Google versprochen, das Paketanalyseprojekt der Open Source Security Foundation (OpenSSF) zu unterstützen.
Im Wesentlichen wird Google OpenSSF dabei helfen, Open-Source-Pakete in großem Umfang dynamisch zu analysieren, wobei die Ergebnisse in BigQuery gespeichert werden. Dadurch wird sichergestellt, dass Verbraucher gewarnt werden, wenn bösartige Pakete in beliebte Repositories hochgeladen werden. Google glaubt, dass dieser Prozess auch zu einem besseren Verständnis der Sicherheit der Lieferkette führen und das Ökosystem als Ganzes sicherer machen wird.
Um dies zu unterstützen, analysierte Google zunächst 200 bösartige Pakete, die in einem Monat auf PyPI und NPM hochgeladen wurden. Während die vollständigen Ergebnisse hier in der BigQuery-Tabelle verfügbar sind , hat Google einige Highlights geteilt.
Das Python-Paket „discordcmd“ auf PyPI lädt die Hintertür im Hintergrund herunter und installiert sie dann auf dem Windows Discord-E-Mail-Client. Auf diese Weise kann er die lokalen Datenbanken auskundschaften und die Discord-API-Token-Daten an den Server des Angreifers weitergeben.
In ähnlicher Weise wird „@roku-web-core/ajax“ in NPM Maschineninformationen exfiltrieren, eine Reverse-Shell öffnen und die Remote-Ausführung von Befehlen ermöglichen. Google bemerkte jedoch eine interessante Entdeckung:
Die von uns gefundenen Pakete enthalten normalerweise ein einfaches Skript, das während der Installation ausgeführt wird und einige Details über den Host mitteilt. Diese Pakete sind höchstwahrscheinlich das Werk von Sicherheitsforschern, die nach Fehlerprämien suchen, da die meisten von ihnen keine anderen aussagekräftigen Daten als den Maschinen- oder Benutzernamen extrahieren und nicht versuchen, ihr Verhalten zu verbergen.
So gab Google an, dass die geringe Verschleierungsschwierigkeit der meisten Pakete darauf hindeutet, dass sie von Sicherheitsforschern stammten und keine ernsthafte Bedrohung darstellten. Das bedeutet aber auch, dass ein Angreifer Personen, die infizierte Pakete installieren, irreparablen Schaden zufügen kann.
Das Unternehmen betonte, dass es dringend erforderlich sei, in das Repository hochgeladene Pakete mit einem offenen Berichtsstandard zu validieren, um die Ergebnisse zu zentralisieren und Transparenz zu schaffen.
Schreibe einen Kommentar