Segurança de código aberto: é muito fácil fazer upload de pacotes maliciosos 'devastadores', alerta o Google

Estrela inativaEstrela inativaEstrela inativaEstrela inativaEstrela inativa
 

É muito fácil inserir o código não autorizado, com consequências perigosas. avisar os especialistas em segurança.

 

O Google detalhou alguns dos trabalhos abertos para encontrar pacotes de códigos maliciosos que foram infiltrados em projetos de software de código. 

O Package Analysis Project é uma iniciativa da cadeia de suprimentos de software da OpenSSF Security (OpenSSF) que ajuda a identificar de forma automatizada o processo de pacotes maliciosos, como um pacote de recursos da Fundação Linux para JavaScript e PyPl para Python. Ele executa uma análise dinâmica de todos os pacotes empacotados em abertos disponíveis. O objetivo aberto é fornecer sobre os tipos de pacotes de pacotes maliciosos e informados que são comuns à segurança da cadeia de suprimentos de software sobre a melhor forma de dados. 

"Ao contrário das aplicações móveis que controlam e aceitam maliciosas recursos, os administradores de pacotes têm recursos limitados para revisar como milhares de modelos e podem manter como podem contribuir de um modelo aberto, como resultado, pacotes maliciosos   sua -parser-s  , e   nodeipc   são permitidos para equipamentos usados- códigos populares, talvez de seus melhores exercícios, com funções devastadoras para os usuários   de segurança de Caleb aberto do Google, em uma postagem de segurança de código aberto do Google, em uma postagem de segurança de código aberto blog  . 

"Apesar do papel essencial do software de código aberto em todos os softwares construídos hoje, é muito fácil para os malfeitores circulares pacotes maliciosos que atacam os sistemas e usuários que executam esse software."

O projeto Package Analysis  de mais de 200 pacotes prejudiciais  em um mês acordo com o OpenSFF. Por exemplo, ele descobriu e roubou de token em usuários do Discord que foram distribuídos em PyPlpm. O pacote PyPl "discordcmd", por exemplo, ataca o cliente Discord Windows por meio de um backdoor baixado do GitHub e instalado no aplicativo Discord para roubo de tokens Discord.   

Os invasores  em pacotes maliciosos em npm  e PyPl com frequência suficiente para que seja distribuído algo que o OpenSSF, do qual o Google é membro, decidiu que precisava ser resolvido. 

Em março, os desenvolvedores encontrados na  nuvem que foram lançados para direcionar a Microsoft  , a data dos ataques de tipologia e de dependência. Ambos os tipos são ataques de engenharia social que exploram etapas repetitivas quando os desenvolvedores atualizam frequentemente um grande número de dependências. Os ataques de dependência de dependência de números de versão excepcionalmente alta para um pacote que, na verdade, pode não ter uma versão anterior disponível.  

O OpenSSF na maioria dos pacotes maliciosos diz que foram detectados erros de confusão de dependências. Mas o acredita que a maioria é provavelmente o projeto de recompensas de segurança deles que participarão do trabalho. 

"Os pacotes encontrados encontraram um script simples que é executado durante a instalação e chama home com alguns detalhes sobre a instalação Esses pacotes são provavelmente o trabalho de pesquisa de segurança que recompensam os bugs, já que a maioria não exfiltrando dados resultados , exceto o nome da máquina ou um nome do usuário, e eles não tentam disfarçar seu comportamento",  observam OpenSSF e Google  .  

O OpenSSF observa que qualquer um desses pacotes "poderia ter feito muito mais para prejudicar as vítimas infelizes que os instalaram, então a Análise de Pacotes fornece uma contramedida para esses tipos de ataques".

A recente falha do Log4j destacou os riscos gerais da segurança da cadeia de suprimentos de software em código aberto. O componente foi incorporado em dezenas de milhares de aplicativos corporativos e levou a uma limpeza massiva e urgente do governo dos EUA . A Microsoft também destacou na semana passada o papel dos ataques à cadeia de suprimentos de software realizados por hackers apoiados pelo Estado russo em conexão com ataques militares à Ucrânia.   

Em fevereiro deste ano, o Google e a Microsoft  injetaram US$ 5 milhões no Projeto Alpha-Omega da OpenSSF para lidar com a segurança da cadeia de suprimentos  . O lado Alpha trabalhará com manutenção dos projetos de código aberto mais críticos, o lado Omega selecionar 10.000 programas de código aberto amplamente utilizados para análise de segurança pelo menos enquanto.

 

 

 

Fonte: Zdnet

Cadastre seu email e fique por dentro do munda da tecnologia