Fundação lança ferramenta para encontrar pacotes maliciosos de código aberto
Por Felipe Demartini | Editado por Claudio Yuge | 02 de Maio de 2022 às 23h00
A Fundação de Segurança em Código Aberto (OpenSSF, no original em inglês) liberou neste fim de semana a primeira versão pública do Package Analysis. O software gratuito é voltado para a comunidade de desenvolvimento e tenta encontrar aberturas e linhas maliciosas em outros projetos de código aberto, com foco em npm e PyPI.
- Quatro desvantagens do Python em relação a outras linguagens de programação
- Qual foi a linguagem de programação mais popular de 2021?
Enquanto a ferramenta ainda está disponível em fase de protótipo, a OpenSSF destaca os bons resultados obtidos durante um período de testes. Durante todo o mês de abril, varreduras preliminares de diferentes projetos com a plataforma levaram à detecção de mais de 200 pacotes maliciosos com as duas linguagens, que poderiam ser aplicados em outros desenvolvimentos e os colocar em risco.
De acordo com a fundação, a ideia é avaliar diferentes aspectos do funcionamento dos pacotes em busca de indicadores de atividade maliciosa. São analisados, por exemplo, os arquivos acessados por eles, a quais servidores se conectam e que tipo de comandos podem receber deles, com o grande foco, como os elementos mostram, sendo a possibilidade de execução de código remoto e a contaminação de plataformas com malwares. Além disso, a ferramenta também mantém controle sobre pacotes já instalados, indicando caso eles passem a agir de forma perigosa.
Segundo a OpenSSF, durante o período de testes, os tipos de explorações mais comuns encontrados foram a confusão de dependências, que pode levar a golpes contra a cadeia de suprimentos a partir de domínios fraudulentos, e o typosquatting. Nessa segunda via, a conexão com servidores é adulterada para que a conexão aconteça com URLs similares às originais, mas sob o controle dos criminosos e com nomes parecidos, de forma a evadir detecção.
Com a liberação da ferramenta Package Analysis, a fundação convida, agora, os interessados em participarem do projeto. A ideia é trabalhar em mecanismos ainda mais avançados de detecção, principalmente no que toca mudanças no comportamento de pacotes, e automações de processos, assim como garantir maior confiabilidade no funcionamento da solução.
Fonte: OpenSSF