Alors que la nature des logiciels open source dicte que le code doit être examiné par n’importe qui, sa nature ouverte signifie également que des attaquants ou des individus ayant d’autres intentions peuvent parfois glisser le mauvais code sans que personne ne s’en rende compte. Pour résoudre ce problème, Google a promis de soutenir le projet d’analyse de packages Open Source Security Foundation (OpenSSF).
Essentiellement, Google aidera OpenSSF à analyser dynamiquement les packages open source à grande échelle, avec les résultats stockés dans BigQuery. Cela garantit que si des packages malveillants sont téléchargés vers des référentiels populaires, les consommateurs sont alertés. Google pense que ce processus fournira également une meilleure compréhension de la sécurité de la chaîne d’approvisionnement et rendra l’écosystème dans son ensemble plus sûr.
Pour y parvenir, Google a commencé par analyser 200 packages malveillants téléchargés sur PyPI et NPM en un mois. Bien que les résultats complets soient disponibles dans le tableau BigQuery ici , Google a partagé quelques faits saillants.
Le package Python « discordcmd » sur PyPI téléchargera la porte dérobée en arrière-plan, puis l’installera sur le client de messagerie Windows Discord. Cela lui permettra de reconnaître les bases de données locales et de transmettre les données du jeton de l’API Discord au serveur de l’attaquant.
De même, « @roku-web-core/ajax » dans NPM exfiltrera les informations de la machine, ouvrira un shell inversé et permettra aux commandes d’être exécutées à distance. Cependant, Google a remarqué une découverte intéressante :
Les packages que nous avons trouvés contiennent généralement un script simple qui s’exécute pendant l’installation et indique à la maison quelques détails sur l’hôte. Ces packages sont très probablement le travail de chercheurs en sécurité à la recherche de primes de bogue, car la plupart d’entre eux n’extraient pas de données significatives autres que le nom de la machine ou le nom d’utilisateur, et ils n’essaient pas de cacher leur comportement.
Ainsi, Google a déclaré que la faible difficulté en matière d’obscurcissement de la plupart des packages indique qu’ils provenaient de chercheurs en sécurité et ne constituaient pas une menace sérieuse. Cependant, cela signifie également qu’un attaquant peut causer des dommages irréparables aux personnes qui installent des packages infectés.
L’entreprise a souligné qu’il existe un fort besoin de valider les packages téléchargés dans le référentiel avec une norme de reporting ouverte pour centraliser les résultats et assurer la transparence.
Laisser un commentaire