L’Open Source Security Foundation (OpenSSF), une initiative soutenue par la Linux Foundation, a publié sa première version prototype de l’outil « Package Analysis » qui vise à détecter et à contrer les attaques malveillantes sur les registres open source.
Au cours d’une exécution pilote qui a duré moins d’un mois, le projet open source publié sur GitHub a pu identifier plus de 200 packages npm et PyPI malveillants.
Le projet vise à lutter contre les logiciels malveillants dans les registres open source
Cette semaine, OpenSSF a publié sa première version prototype du ‘Analyse de colis‘ projet sur GitHub.
Le référentiel du projet contient des outils qui analysent les packages open source, en particulier pour rechercher les packages npm et PyPI malveillants.
« Le projet Package Analysis cherche à comprendre le comportement et les capacités des packages disponibles sur les référentiels open source : à quels fichiers accèdent-ils, à quelles adresses se connectent-ils et quelles commandes exécutent-ils ? » expliquent Caleb Brown et David A. Wheeler, qui sont impliqués dans OpenSSF Sécurisation des projets critiques groupe de travail.
« Le projet suit également les changements dans le comportement des packages au fil du temps, pour identifier quand un logiciel auparavant sûr commence à agir de manière suspecte. »
Lors de son test qui a duré moins d’un mois, Package Analysis a pu identifier plus de 200 composants malveillants PyPI et npmselon OpenSSF.
Selon OpenSSF, la grande majorité de ces packages malveillants sont des attaques de confusion de dépendance et de typosquattage.
Parmi tous les packages malveillants identifiés par Package Analysis, l’un d’eux est ‘colorsss’ qui a été précédemment considéré comme malveillant:
Le package ‘colorsss’ est un typosquat du populaire couleurs npm, dont certaines versions avaient été sabotées par son développeur en janvier, comme l’a signalé pour la première fois EZpublish-france.fr.
En plus de contenir des fichiers légitimes de la bibliothèque de couleurs, les « colorsss » malveillants contiennent des logiciels malveillants obscurcis, selon une copie archivée du package obtenu par EZpublish-france.fr auprès de la société de sécurité open source Sonatype :
Le code obscurci dans ‘colorsss’ contient des voleurs de jetons Discord, un thème récurrent parmi les packages npm malveillants.
« Bien que le projet soit en développement depuis un certain temps, il n’est devenu utile que récemment après d’importantes modifications basées sur les premières expériences », déclare OpenSSF dans un article de blog sorti cette semaine.
« Il existe de nombreuses opportunités de participation à ce projet, et nous accueillons toute personne intéressée à contribuer aux objectifs futurs de… détection des différences de comportement des packages au fil du temps ; automatisation du traitement des résultats de l’analyse des packages ; stockage des packages eux-mêmes tels qu’ils sont traités pour une analyse à long terme ; et l’amélioration de la fiabilité du pipeline. »
Divulgation complète : j’assiste régulièrement aux réunions du groupe OpenSSF en tant que membre. Le typosquat malveillant, ‘colorsss’ mentionné dans l’article avait déjà été analysé par l’équipe de recherche en sécurité de Sonatype, dont je fais partie.