Google, büyük ücretsiz yazılım projelerine dahil edilen kötü amaçlı kod demetlerini bulma çabalarının bir kısmını ayrıntılı olarak açıkladı.
Paket Analizi Projesi, Linux Foundation’ın Open Source Security Foundation (OpenSSF) yazılım tedarik zinciri girişimlerinden biridir. Bu, JavaScript için npm ve Python için PyPl gibi popüler paket havuzlarında dağıtılan kötü amaçlı paketleri tanımlama sürecini otomatikleştirmelidir. Popüler ücretsiz yazılım havuzlarına yüklenen tüm paketlerin dinamik analizini gerçekleştirir. Ana kötü amaçlı paket türleri hakkında veri sağlamayı ve açık kaynak tedarik zinciri güvenliği üzerinde çalışan kişileri, onu en iyi nasıl geliştirebilecekleri konusunda bilgilendirmeyi amaçlar.
Temel bağlantılar
“Kötü amaçlı katkıları tarayabilen ve reddedebilen mobil uygulama mağazalarından farklı olarak, paket depoları binlerce günlük güncellemeyi gözden geçirmek için sınırlı kaynaklara sahiptir ve herkesin özgürce katkıda bulunabileceği açık bir model sağlamalıdır. ua-ayrıştırıcı-js ve düğüm-ipc en iyi çabalarına rağmen düzenli olarak popüler depolara yükleniyor ve bazen kullanıcılar için yıkıcı sonuçlar doğuruyor” diyor. Google’ın Özgür Yazılım Güvenlik Ekibinden Caleb Brown bir blog yazısında.
“Bugün inşa edilen tüm yazılımlarda özgür yazılımın temel rolüne rağmen, kötü niyetli aktörlerin sistemlere ve kullanıcılara saldıran kötü niyetli paketleri dolaştırması çok kolaydır.”
Paket Analizi Projesi belirlendi 200’den fazla kötü amaçlı paket OpenSFF’ye göre bir ay içinde. Örneğin, PyPl ve npm’de dağıtılan paketlere Discord token hırsızlığı saldırılarını buldu. Örneğin, “discordcmd” PyPl paketi, Discord belirteçlerini çalmak için GitHub’a yüklenen ve Discord uygulamasına yüklenen bir arka kapı aracılığıyla Discord’un Windows istemcisine saldırır.
Saldırganlar dağıtıyor npm’de kötü amaçlı paketler ve PyPl, Google’ın üyesi olduğu OpenSSF’nin bununla ilgilenmeye karar vermesine yetecek kadar sıktır.
Mart ayında araştırmacılar, Microsoft’un Azure bulutunu kullanan geliştiricileri hedeflemek için kullanılan ve çoğu yazım hatası ve bağımlılık karışıklığı saldırıları içeren yüzlerce kötü amaçlı npm paketi keşfetti. Bu iki saldırı türü sosyal mühendisliktir: yazım denetimi, kurbanın dikkatsizliğinden yararlanmak için platformda çok benzer bir adla neredeyse benzer bir kötü amaçlı paket sunmaktan oluşur. Bağımlılık karışıklığı saldırıları, aslında daha eski bir sürümü bulunmayan bir paket için anormal derecede yüksek sürüm numaralarına dayanır.
Zarardan çok korku
OpenSSF, tespit ettiği kötü amaçlı paketlerin çoğunun bağımlılık karışıklığı ve yazım hatası saldırıları olduğunu söylüyor. Ancak proje, bunların çoğunun muhtemelen hata ödülüne katılan güvenlik araştırmacılarının işi olduğuna inanıyor.
“Bulunan paketler genellikle kurulum sırasında çalışan ve virüslü makineyle ilgili bazı ayrıntılarla bir komut sunucusuyla bağlantı kuran basit bir komut dosyası içerir. Bu paketler büyük olasılıkla hata ödülü arayan güvenlik araştırmacılarının işidir, çünkü çoğu herhangi bir anlamlı veriyi dışarı sızdırmaz. makinenin adı veya bir kullanıcı adı ve davranışlarını gizlemeye çalışmazlar”, OpenSSF ve Google’ı açıklayın.
OpenSSF Not bu paketlerden herhangi birinin “onları kuran kurbanlar üzerinde çok daha yıkıcı bir etkisi olabilirdi, bu yüzden paket analizi bu tür saldırılara karşı bir önlem sağlıyor”.
Son Log4j kusuru, açık kaynaklı yazılım tedarik zincirinin genel güvenlik risklerini vurguladı. Bileşen on binlerce kurumsal uygulamaya yerleştirildi ve ABD hükümeti tarafından büyük ve acil bir temizliğe yol açtı. Geçen hafta Microsoft, yazılım tedarik zinciri saldırılarının rolünü de vurguladı Rus devlet destekli bilgisayar korsanları tarafından yürütülen Ukrayna’ya yönelik askeri saldırılar bağlamında.
Geçen Şubat, Google ve Microsoft Tedarik zinciri güvenliğinin üstesinden gelmek için OpenSSF’nin Alpha-Omega projesine 5 milyon dolar enjekte etti. Alpha akışı, en kritik açık kaynak projelerinin koruyucularıyla birlikte çalışırken, Omega akışı, otomatik güvenlik analizi için en az 10.000 yaygın olarak dağıtılan açık kaynak programı seçecektir.
Kaynak : “ZDNet.com”