文/李建興 | 2023-10-16發表
開源安全基金會(Open Source Security Foundation,OpenSSF)套件分析團隊,在GitHub上推出惡意套件儲存庫(Malicious Packages Repository),該儲存庫用於收集和發布跨生態系的惡意套件報告。OpenSSF的這項作為,是為了回應近期開源惡意套件攻擊事件頻傳的情況。
惡意套件是一種特殊類型的惡意軟體,被包裝成開源套件並發布到PyPI或NPM這類套件儲存庫中。攻擊者濫用套件交付形式,將惡意程式碼植入到受害者的系統中。受害者可能無意間安裝並且執行該套件,進而觸發惡意程式碼,進一步導致未經授權的存取、私人資料洩露,或是資料破壞等攻擊,官方指出,大多數的端點防毒軟體,都未能有效阻止惡意套件攻擊流程。
在去年5月的時候,OpenSSF釋出了可用於辨識惡意套件的分析工具,該工具透過偵測惡意行為,警示選用相關套件的開發者。套件分析工具與新的開源套件儲存庫相輔相成,OpenSSF會從熱門的開源套件儲存庫中,下載、安裝並執行套件,進而發現隱藏其中的惡意套件。透過捕捉套件指令,分析網路流量,並運用規則判斷套件行為,當OpenSSF發現惡意套件,就會將生成的報告發布到新的開源惡意套件儲存庫。
OpenSSF推出惡意套件儲存庫的目的,是要改善當前惡意套件報告資訊的透明度。每個開源套件儲存庫都有自己處理惡意套件的方式,當社群回報惡意套件時,套件儲存庫的安全團隊便會移除該套件和相關後設資料,但OpenSSF提到,這過程通常沒有公開紀錄,要發現存在哪些惡意套件,就必須要從多個公開來源或是專門的威脅情報來源拼湊資料。
而OpenSSF的惡意套件儲存庫作為一個公開的資料庫,得以彌補這個資料缺口,儲存庫中所收集的開源套件報告,可用於阻止惡意相依項目在CI/CD工作管線中被使用,也能使偵測引擎更加完善,或是加快企業的事件回應速度。
儲存庫使用開源漏洞(Open Source Vulnerability,OSV)格式,這是一種用於標示開源專案漏洞的JSON格式,官方提到,由於使用OSV格式,該儲存庫的資料也能與現有包括osv.dev API、osv-scanner和deps.dev等工具整合。
目前儲存庫已經收錄超過1.5萬份惡意套件,資料來源涵蓋OpenSSF套件分析專案、Checkmarx,以及GitHub平臺追蹤到的惡意套件匯出資料。
線