Инструмент Package Analysis помогает обнаружить вредоносные пакеты npm и PyPI

Open Source Security Foundation (OpenSSF), проект, поддерживаемый Linux Foundation, выпустил первую тестовую версию инструмента Package Analysis , направленного на выявление и противодействие атакам на реестры открытых исходных кодов.

"Проект Package Analysis направлен на понимание поведения и возможностей пакетов, доступных в репозиториях с открытым исходным кодом: к каким файлам они обращаются, к каким адресам подключаются и какие команды выполняют?",— говорят Калеб Браун и Дэвид Уилер, члены рабочей группы OpenSSF по обеспечению безопасности критически важных проектов . "Проект отслеживает изменения в поведении пакетов с течением времени, чтобы определить, когда ранее безопасное программное обеспечение начинает вести себя подозрительно".

В ходе пилотного запуска, длившегося менее месяца, опубликованный на GitHub проект смог выявить более 200 вредоносных пакетов npm и PyPI . По словам OpenSSF, подавляющее большинство найденных вредоносных пакетов атакуют при помощи тайпсквоттинга и путаницы зависимостей.