Эксперты Open Source Security Foundation (OpenSSF), поддерживаемого Linux Foundation, анонсировали новый проект, целью которого является помощь в выявлении вредоносных пакетов в опенсорсных репозиториях.
Новый инструмент получил имя Package Analysis и предназначен для оценки поведения и возможностей опенсорсных пакетов, включая файлы, к которым они обращаются, команды, которые поддерживают, IP-адреса, к которым подключаются, а также отслеживание изменений, за которыми может скрываться подозрительная активность. По сути, пользователей оповестят о любом вредоносном и подозрительном поведении пакетов, тем самым уменьшая риски атак на цепочки поставок и повышая доверие к опенсорсному ПО в целом.
Сообщается, что в ходе пилотного запуска, который длился около месяца, Package Analysis, чей код уже опубликован на GitHub, помог выявить более 200 вредоносных пакетов npm и PyPI, причем большинство мошеннических библиотек полагались на банальный тайпсквоттинг и атаки типа dependency confusion.
Обнаруженные пакеты, как правило, содержали простой скрипт, предназначенный для запуска при установке и последующей передачи операторам небольшого количества данных о хосте. Согласно OpenSSF, многие из этих вредоносных пакетов могли быть делом рук ИБ-исследователей, учитывая, что никакие значимые данные в системах жертв не удалялись, а попытки замаскировать подозрительное поведение отсутствовали.
«Наши усилия направлены на повышение безопасности программного обеспечения с открытым исходным кодом путем обнаружения вредоносного поведения, информирование потребителей о выборе пакетов и предоставление исследователям данных об экосистеме, — говорится в официальном заявлении разработчиков. — Существует множество возможностей для участия в этом проекте, и мы приветствуем всех, кто заинтересован во внесении собственного вклада в обнаружение различий в поведении пакетов с течением времени, автоматизации обработки результатов анализа пакетов, хранении самих пакетов, пока те подвергаются долгосрочному анализу, а также в повышении надежности пайплайна в целом».
