Безпека з відкритим вихідним кодом: завантажувати «руйнівні» шкідливі пакети дуже легко, попереджає Google

Google детально описав частину роботи, виконаної для пошуку пакетів шкідливого коду, які проникли у великі проекти програмного забезпечення з відкритим кодом.

Проект аналізу пакетів — це одна з ініціатив ланцюжка постачання програмного забезпечення від Open Source Security Foundation (OpenSSF) Linux Foundation, яка має допомогти автоматизувати процес виявлення шкідливих пакетів, що розповсюджуються в популярних сховищах пакетів, таких як npm для JavaScript і PyPl для Python. Він виконує динамічний аналіз усіх пакетів, завантажених у популярні репозиторії з відкритим кодом. Він має на меті надати дані про поширені типи шкідливих пакетів і поінформувати тих, хто працює над безпекою ланцюга постачання програмного забезпечення з відкритим кодом, про те, як найкраще її покращити.

«На відміну від магазинів мобільних додатків, які можуть сканувати та відхиляти зловмисні внески, сховища пакетів обмежені ресурси для перегляду тисяч щоденних оновлень і повинні підтримувати відкриту модель, де кожен може вільно сприяти. У результаті шкідливі пакети, як 

ua-parser-js, і node-ipc регулярно завантажуються в популярні репозиторії, незважаючи на всі їхні зусилля, іноді з руйнівними наслідками для користувачів", Калеб Браун з групи безпеки відкритого коду Google пояснює в дописі в блозі.

«Незважаючи на важливу роль програмного забезпечення з відкритим кодом у всьому програмному забезпеченні, створеному сьогодні, зловмисникам надто легко поширювати шкідливі пакети, які атакують системи та користувачів, які використовують це програмне забезпечення».

ПОБАЧИТИ: Google: Численні хакерські групи використовують війну в Україні як приманку для спроб фішингу

Виявлено проект Package Analysis більше 200 шкідливих пакетів за один місяць, згідно з OpenSFF. Наприклад, він виявив атаки крадіжки токенів на користувачів Discord, які поширювалися на PyPl і npm. Пакет PyPl «discordcmd», наприклад, атакує клієнт Discord Windows через бекдор, завантажений з GitHub і встановлений у програмі Discord, щоб викрасти токени Discord.

Зловмисники роздають шкідливі пакети на npm і PyPl настільки часто, що OpenSSF, членом якого є Google, вирішив, що це потрібно вирішити.

У березні дослідники виявили сотні шкідливі пакети на npm, які використовувалися для націлювання на розробників, які використовують хмару Microsoft Azure, більшість з яких містили атаки typosquatting і dependency confusion. Обидва типи є атаками соціальної інженерії, які використовують повторювані кроки, коли розробники часто оновлюють велику кількість залежностей. Атаки плутанини залежностей покладаються на незвичайно високі номери версій для пакета, який насправді може не мати попередньої версії.

OpenSSF каже, що більшість виявлених зловмисних пакетів були атаками на плутанину залежностей і друкарські помилки. Але проект вважає, що більшість із них, ймовірно, є роботою дослідників безпеки, які беруть участь у винагородах за помилки.

«Знайдені пакети зазвичай містять простий сценарій, який запускається під час інсталяції та викликає на домашню сторінку кілька деталей про хост. Ці пакунки, швидше за все, є роботою дослідників безпеки, які шукають винагороди за помилки, оскільки більшість з них ні викрадання значущих даних, окрім назви машини чи імені користувача, і вони не намагаються замаскувати їх поведінка", Примітка OpenSSF і Google.

OpenSSF примітки що будь-який із цих пакетів «міг зробити набагато більше, щоб завдати шкоди нещасним жертвам, які їх встановили, тому аналіз пакетів забезпечує протидію таким видам атак».

Недавня помилка Log4j підкреслила загальні ризики безпеки ланцюжка поставок програмного забезпечення з відкритим кодом. Компонент був вбудований в десятки тисяч корпоративних програм і спонукало уряд США до масштабного та термінового очищення. Минулого тижня корпорація Майкрософт також підкреслила роль атак на ланцюги поставок програмного забезпечення здійснений російськими державними хакерами у зв’язку з військовими нападами на Україну.

Цього лютого Google і Microsoft вклав 5 мільйонів доларів у проект OpenSSF Alpha-Omega для вирішення питань безпеки ланцюга постачання. Сторона Alpha працює з супроводжувачами найважливіших проектів з відкритим вихідним кодом, тоді як сторона Omega вибере щонайменше 10 000 широко розгорнутих програм з відкритим кодом для автоматизованого аналізу безпеки.