OpenSSF já achou 200 falhas em repositórios open source

Da Redação
03/05/2022

A Open Source Security Foundation (OpenSSF) lançou hoje a versão beta de uma nova ferramenta que pode fazer análises dinâmicas de todos os pacotes publicados em repositórios de código aberto. O projeto Package Analysis tenta proteger os pacotes de código aberto, identificando e alertando os usuários sobre qualquer conteúdo malicioso, com o objetivo de aumentar a confiança no software de código aberto e reforçar a segurança da cadeia de fornecimento de software.

“O projeto Package Analysis busca entender o comportamento e os recursos dos pacotes disponíveis em repositórios de código aberto: quais arquivos eles acessam, quais endereços eles se conectam e quais comandos eles executam”, informou o comunicado da OpenSSF sobre o assunto.

Veja isso
Invasões em série com tokens OAuth emitidos pelo GitHub
Log4Shell já responde por um terço das infecções por malware

O pacote PyPl “discordcmd”, por exemplo, ataca o cliente Discord Windows por meio de um backdoor baixado do GitHub e instalado no aplicativo Discord para roubar tokens Discord. Os invasores distribuem pacotes maliciosos em npm e PyPl com frequência suficiente para que isso tenha se tornado um problema a ser resolvido.

“O projeto também acompanha as mudanças na forma como os pacotes se comportam ao longo do tempo, para identificar quando um software anteriormente seguro começa a agir de forma suspeita”, acrescentaram Caleb Brown e David A. Wheeler, da OpenSSF.

Só no primeiro mês de testes, o programa já descobriu mais de 200 pacotes maliciosos publicados para PyPI e NPM, com a maioria das bibliotecas falsificadas contendo uma confusão de dependências e ataques de typosquatting. O Google, membro do OpenSSF, deu seu apoio à iniciativa Package Analysis, destacando a importância de “verificar os pacotes antes de serem publicados para manter os usuários seguros”.

No ano passado, a equipe de segurança de código aberto da empresa propôs a arquitetura Níveis de Cadeia de Suprimentos para Artefatos de Software (SLSA) para verificar a integridade dos pacotes de software e evitar alterações não autorizadas. O desenvolvimento ocorre quando o ecossistema de código aberto está sendo cada vez mais armado para atacar desenvolvedores com malware, como mineradores de criptomoedas e ladrões de dados.

Compartilhar: