Google ha detallado parte del trabajo realizado para encontrar paquetes de códigos maliciosos que se han infiltrado en proyectos de software de código abierto más grandes.
El Proyecto de análisis de paquetes es una de las iniciativas de la cadena de suministro de software de Open Source Security Foundation (OpenSSF) de Linux Foundation que debería ayudar a automatizar el proceso de identificación de paquetes maliciosos distribuidos en repositorios de paquetes populares, como npm para JavaScript y PyPl para Python. Ejecuta un análisis dinámico de todos los paquetes cargados en repositorios populares de código abierto. Su objetivo es proporcionar datos sobre tipos comunes de paquetes maliciosos e informar a quienes trabajan en la seguridad de la cadena de suministro de software de código abierto sobre la mejor manera de mejorarla.
«A diferencia de las tiendas de aplicaciones móviles que pueden buscar y rechazar contribuciones maliciosas, los repositorios de paquetes tienen recursos limitados para revisar las miles de actualizaciones diarias y deben mantener un modelo abierto en el que cualquiera pueda contribuir libremente. Como resultado, los paquetes maliciosos como ua-parser-js , y node-ipc se cargan regularmente en repositorios populares a pesar de sus mejores esfuerzos, lo que a veces tiene consecuencias devastadoras para los usuarios», explica Caleb Brown, del equipo de seguridad de fuente abierta de Google, en una entrada de blog.
«A pesar del papel esencial del software de código abierto en todo el software creado hoy en día, es demasiado fácil para los malos hacer circular paquetes maliciosos que atacan los sistemas y los usuarios que ejecutan ese software».
VER: Google: Múltiples grupos de piratería están utilizando la guerra en Ucrania como señuelo en intentos de phishing
El proyecto Package Analysis identificó más de 200 paquetes maliciosos en un mes, según OpenSFF. Por ejemplo, encontró ataques de robo de tokens en usuarios de Discord que se distribuyeron en PyPl y npm. El paquete PyPl «discordcmd», por ejemplo, ataca al cliente Discord Windows a través de una puerta trasera descargada de GitHub e instalada en la aplicación Discord para robar tokens Discord.
Los atacantes distribuyen paquetes maliciosos en npm y PyPl con tanta frecuencia que OpenSSF, del cual Google es miembro, decidió que era necesario abordarlo.
En marzo, los investigadores encontraron cientos de paquetes maliciosos en npm que se usaban para atacar a los desarrolladores que usaban la nube Azure de Microsoft, la mayoría de los cuales contenían ataques de confusión de dependencias y errores tipográficos. Ambos tipos son ataques de ingeniería social que aprovechan los pasos repetitivos cuando los desarrolladores actualizan con frecuencia una gran cantidad de dependencias. Los ataques de confusión de dependencia se basan en números de versión inusualmente altos para un paquete que, de hecho, puede no tener una versión anterior disponible.
OpenSSF dice que la mayoría de los paquetes maliciosos que detectó fueron ataques de confusión de dependencias y errores tipográficos. Pero el proyecto cree que la mayoría de estos son probablemente el trabajo de los investigadores de seguridad que participan en las recompensas por errores.
«Los paquetes que se encuentran generalmente contienen un script simple que se ejecuta durante la instalación y llama a casa con algunos detalles sobre el host. Lo más probable es que estos paquetes sean el trabajo de investigadores de seguridad que buscan recompensas por errores, ya que la mayoría no extrae datos significativos, excepto el nombre de la máquina o un nombre de usuario, y no intentan ocultar su comportamiento», señalan OpenSSF y Google.
OpenSSF señala que cualquiera de estos paquetes «podría haber hecho mucho más para dañar a las desafortunadas víctimas que los instalaron, por lo que Package Analysis proporciona una contramedida para este tipo de ataques».
La falla reciente de Log4j destacó los riesgos generales de la seguridad de la cadena de suministro de software en código abierto. El componente estaba integrado en decenas de miles de aplicaciones empresariales y provocó una limpieza masiva y urgente por parte del gobierno de EE. UU. La semana pasada, Microsoft también destacó el papel de los ataques a la cadena de suministro de software llevados a cabo por piratas informáticos respaldados por el estado ruso en relación con los ataques militares en Ucrania.
Este febrero, Google y Microsoft inyectaron $ 5 millones en el Proyecto Alpha-Omega de OpenSSF para abordar la seguridad de la cadena de suministro. El lado Alpha trabaja con los mantenedores de los proyectos de código abierto más críticos, mientras que el lado Omega seleccionará al menos 10 000 programas de código abierto ampliamente implementados para el análisis de seguridad automatizado.
