OpenSSF 开源的“包分析”工具发现了大量恶意 npm、PyPI 包

　　

<跨风格=" background - color: # ffffff;颜色:# 070707 ">由Linux基金会提供支持的开源安全基金会(OpenSSF) 发布了一个包分析——“包分析“工具,该工具可以识别各类恶意软件,捕捉和对抗对开源注册表的恶意攻击。

　　

包分析项目旨在了解开源存储库中可用包的行为和功能:它们访问哪些文件,连接到哪些地址以及运行哪些命令。

　　

该项目还跟踪包的行为随时间的变化,以确定以前安全的软件何时开始出现可疑行为。

　　

据OpenSSF称,在持续不到一个月的测试运行中,包分析已经能够识别出200多个恶意PyPI和npm组件。绝大多数恶意包都是依赖混淆和仿冒攻击。比如“colorsss npm包,据外媒bleepingcomputer介绍,“colorsss”包是流行的“颜色”npm库的仿冒域名,但除了包含来自颜色库的一些合法文件外,恶意的“colorsss”包还包含混淆的恶意软件:

<跨风格=" background - color: # ffffff;颜色:# 070707 ">如图所示,“colorsss”中的混淆代码包含不和令牌窃取程序,这是非常常用的恶意软件。

OpenSSF在本周发布的一篇博文中表示:“尽管该项目已经开发了一段时间,但直到最近根据初步经验进行了大量修改后才变得有用”。而该包分析工具下一步的优化计划如下:

　　<李>随着时间的推移,检测包行为的差异,李 　　<李>自动处理包分析结果,李 　　<李>在处理包时,存储包本身以进行长期分析,李 　　<李>提高管道的可靠性。 　　

OpenSSF 开源的“包分析”工具发现了大量恶意 npm、PyPI 包