В ответ на рост числа вредоносных пакетов с открытым исходным кодом Open Source Security Foundation (OpenSSF) запустилинициативу под названием Malicious Packages Repository. С момента своего запуска репозиторий уже накопил более 15 000 отчетов о вредоносных пакетах, используя данные систем анализа пакетов от OpenSSF, Checkmarx и GitHub.
Вредоносные пакеты – это вид вредоносного ПО, который выдается за открытые пакеты и публикуется в популярных репозиториях, таких как PyPI и NPM. Пакеты используются для атаки на разработчиков или организации, которые их устанавливают и запускают. Заражение также может повлиять на цепочку поставок ПО. Последствия могут включать в себя несанкционированный доступ, утечку данных и даже уничтожение данных.
В последние месяцы разработчики столкнулись с рядом кибератак с использованием пакетов. Например, в начале октября исследователи из компании ReversingLabs обнаружили в репозитории NPM вредоносный пакет, содержащий троян для Discord с функционалом руткита. Вредоносное ПО, названное DiscordRAT 2.0, представляет собой готовый инструмент для взлома, идеально подходящий начинающим хакерам.
Также исследователи Checkmarx в июне раскрыли кампанию, в которой киберпреступники нашли способ внедрить свой вредоносный код в пакеты npm, не меняя исходный код . Хакеры использовали S3-бакеты AWS, которые были заброшены их владельцами, и заменили в них бинарные файлы, необходимые для работы пакетов.
Проект анализа пакетов OpenSSF был создан для обнаружения вредоносных пакетов, как только они появляются. Подход заключается в загрузке, установке и выполнении пакетов из широко используемых репозиториев открытого исходного кода при их выпуске. В ходе процесса команды и сетевой трафик тщательно контролируются. Malicious Packages Repository устраняет проблему разнообразия подходов к обработке злонамеренных пакетов в разных репозиториях, предоставляя объединенный публичный ресурс.
Отчеты в Malicious Packages Repository оформляются в формате Open Source Vulnerability (OSV), который используется для указания уязвимостей в проектах с открытым исходным кодом.
Malicious Packages Repository от OpenSSF призван усилить безопасность цепочки поставок, предоставляя сообществу необходимые инструменты для защиты от вредоносных пакетов и обеспечения безопасности программного обеспечения.