Depo halihazırda 15.000’den fazla kötü amaçlı paket raporunu bir araya getirerek OpenSSF Paket Analizi projesi, Checkmarx güvenliği ve GitHub tarafından izlenen kötü amaçlı paketlerin dışa aktarımı dahil olmak üzere çeşitli kaynaklardan veri topladı.
Artan kötü amaçlı açık kaynak paket tehdidine karşı koymak amacıyla Açık Kaynak Güvenliği Vakfı (OpenSSF) Kötü Amaçlı Paket Deposu adı verilen yeni bir girişim başlattı. Bu depo, kötü amaçlı kodlara karşı mücadelede önemli bir oyuncu olabilir ve açık kaynaklı yazılım ekosistemlerinin güvenliğini ve bütünlüğünü artırmayı amaçlamaktadır.
Artan Tehditlere Yanıt
Kötü Amaçlı Paket Havuzunun lansmanı, kötü amaçlı açık kaynak paketlerinden yararlanan siber saldırıların yükselişte olduğu bir dönemde gerçekleşti. Örneğin, Kuzey Kore devlet destekli kötü şöhretli bir bilgisayar korsanlığı kuruluşu olan Lazarus Grubu, yakın zamanda çeşitli yazılım tedarik zincirlerine sızmak için aldatıcı npm paketleri içeren kurnaz taktikler kullanarak blockchain ve kripto para birimi sektörlerini hedef aldı.
Immunefi’deki kripto güvenliği uzmanlarına göre, kripto endüstrisi 2023’ün üçüncü çeyreğinde 685 milyon dolar kaybetti ve bu fonların %30’u Lazarus Grubu tarafından çalındı. Böyle bir senaryoda, paylaşılan istihbarat için merkezi bir veri deposu, bir erken uyarı sistemi görevi görerek küresel topluluğun bu tür saldırıları daha hızlı engellemesine olanak tanıyabilirdi.
Tehdidin Çözümü: Kötü Amaçlı Paket Nedir?
Kötü amaçlı paketler, açık kaynaklı paketler gibi görünen ve daha sonra PyPI ve NPM gibi popüler paket depolarında yayınlanan bir tür kötü amaçlı yazılımdır. Savunmasız kod, istismar edilebilecek kasıtsız zayıflıklara sahip olsa da, kötü amaçlı kod, hedeflerine zarar vermek veya onları tehlikeye atmak amacıyla karmaşık bir şekilde hazırlanır.
Bu kötü amaçlı paketler, bunları yükleyen ve çalıştıran, şüphelenmeyen geliştiricilere veya kuruluşlara saldırmak için kullanılır. Etkiler, yetkisiz erişim ve veri sızıntılarından aşırı kaynak tüketimine ve veri imhasına kadar değişebilir; çoğu uç nokta antivirüs yazılımı bu karmaşık saldırı vektörlerini tespit etme konusunda yetersiz donanıma sahiptir.
Son Saldırılara Bir Bakış
Son aylarda geliştiriciler bir dizi kötü niyetli saldırının hedefi oldu. 5 Ekim’deBir NPM Typosquatting saldırısı, meşru paketler aracılığıyla r77 rootkit’ini konuşlandırdı. Sadece birkaç gün önce, 2 Ekim’deFortiGuard Labs, verileri çalmak için özel olarak tasarlanmış bir dizi kötü amaçlı NPM paketini ortaya çıkardı.
Ağustos ayının sonlarında geliştirici topluluğu sarsıldı. Luna Grabber kötü amaçlı yazılımı NPM paketleri aracılığıyla güvenlik açıklarından yararlanıldı ve özellikle Roblox’ta çalışanlar etkilendi. 6 Ağustos’tah, VMCONNECT kötü amaçlı PyPI paketi, yaygın Python araçlarını ustalıkla taklit ederek büyüyen tehditler listesine eklendi.
Bu olaylar, yazılım geliştirme ekosisteminde sağlam güvenlik önlemlerinin gerekliliğini vurgulayarak geliştiricilerin karşılaştığı artan risklerin altını çiziyor. Bu, OpenSSF’nin Kötü Amaçlı Paket Deposuna sahip olmanın önemini daha da vurgulamaktadır.
Paket Analizi Projesi: Eylemde Teyakkuz
OpenSSF’nin Paket Analizi projesi, kötü amaçlı paketleri ortaya çıkar çıkmaz tespit etmek için tasarlandı. Bu proaktif yaklaşım, yaygın olarak kullanılan açık kaynaklı paket havuzlarından paketlerin yayınlandıkça indirilmesini, kurulmasını ve çalıştırılmasını içerir. Bu işlem sırasında yürütülen komutlar ve ağ trafiği kapsamlı bir şekilde izlenir.
Ek olarak, paketin davranışını incelemek ve yasal ve kötü niyetli eylemler arasında ayrım yapmak için bir dizi katı kural uygulanır. Bir paketin kötü niyetli niyet gösterdiği durumlarda ayrıntılı bir rapor oluşturulur ve ardından yeni Kötü Amaçlı Paketler Havuzu’nda yayınlanır.
Yanıtı Birleştirme
Kötü amaçlı paketlerin işlenmesi şu anda bir açık kaynak paket deposundan diğerine farklılık göstermektedir. Tipik olarak, bir topluluk üyesi kötü amaçlı bir paket bildirdiğinde, veri havuzunun güvenlik ekibi paketi ve onunla ilgili meta verileri kaldırır.
Ne yazık ki, bu eylemler genellikle herhangi bir kamuya açık kayıt olmadan gerçekleştirilir ve bu da dolaşımdaki kötü amaçlı paketlerin boyutunun keşfedilmesini zorlaştırır. Kötü Amaçlı Paketler Havuzu, açık kaynak depolarda keşfedilen kötü amaçlı paketlere ilişkin raporları bir araya getiren kapsamlı bir genel veritabanı oluşturarak bu bilgi boşluğunu doldurur.
Bu paha biçilemez kaynak, kötü amaçlı bağımlılıkları kendi yollarında yakalama, tespit mekanizmalarını geliştirme, çeşitli ortamları tarama ve kullanımı önleme ve olaylara müdahaleyi hızlandırma potansiyeline sahiptir.
OSV Formatından Yararlanmak
İçinde Blog yazısı OpenSSF tarafından 12 Ekim 2023’te yayınlanan Kötü Amaçlı Paketler Deposu’ndaki raporlar, Açık Kaynak Güvenlik Açığı (VESAİRE) biçimi, açık kaynak projelerdeki güvenlik açıklarını belirtmek için kullanılır.
Kötü amaçlı paketler için OSV formatının kullanılmasıyla osv.dev API’si, osv-tarayıcı aracı ve deps.dev dahil olmak üzere mevcut araç ve hizmetlerin entegre edilmesi mümkün hale gelir. Bu format aynı zamanda özelleştirilebilir ve uzlaşma göstergeleri veya sınıflandırma ayrıntıları gibi ek verilerin dahil edilmesine olanak tanır.
Henrik PlakaUygulama güvenliği startup’ında güvenlik araştırmacısı olan Endor Labs, açık kaynaklı bir projenin daha geniş çeşitlilikte ekosistemler için bu sorunu ele aldığını görmenin harika olduğunu söylüyor. Bu, akademik ve kurumsal güvenlik araştırmacılarının açık kaynak ekosistemini güvence altına almaya yönelik mevcut tüm çabalarını desteklemektedir.
“Özellikle akademik araştırmacılar için, kötü amaçlı yazılım tespitine yönelik yeni yaklaşımları, örneğin PyPI veya npm gibi çeşitli paket kayıtlarındaki yeni paket yayınlarının izlenmesi gibi temel tesisat işlemlerini tekrar tekrar yapmak zorunda kalmadan keşfetmek ve test etmek için güzel bir fırsat sunuyor. ,” ekledi. “Neyse ki bu kısım ilgili OpenSSF kapsamındadır. paket beslemeleri OpenSSF ile el ele giden proje paket–analiz blog yazısında bahsedilen veritabanını doldurma projesi.
Zaten 15.000 Rapor
Dikkat çekici bir şekilde, depo zaten OpenSSF Paket Analizi projesi, Checkmarx güvenliği ve GitHub tarafından izlenen kötü amaçlı paketlerin dışa aktarımı dahil olmak üzere çeşitli kaynaklardan veri çeken 15.000’den fazla kötü amaçlı paket raporunu topladı.
Bununla birlikte, OpenSSF’nin Kötü Amaçlı Paket Deposu, açık kaynak topluluğunu zararlı saldırılara karşı koruma sağlamak, yazılım bütünlüğünü korumak ve açık kaynak geliştirmenin temelini güçlendirmek için gerekli araçlar ve teknik bilgilerle donatarak kolektif korumanın kalesi olarak hizmet vermektedir.