L'OpenSSF présente Package Analysis, un outil de détection des dépôts open source malveillants

Par:
fredericmazue

lun, 02/05/2022 - 12:18

L'open Source Security Foundation (OpenSSF) a présenté la version prototype initiale du projet Package Analysis, un projet OpenSSF qui relève le défi d'identifier les packages malveillants dans les référentiels open source populaires. 

Le projet Package Analysis cherche à comprendre le comportement et les capacités des packages disponibles sur les référentiels open source : à quels fichiers accèdent-ils, à quelles adresses se connectent-ils et quelles commandes exécutent-ils ? Le projet suit également les changements dans le comportement des packages au fil du temps, pour identifier quand un logiciel auparavant sûr commence à agir de manière suspecte. Cet effort vise à améliorer la sécurité des logiciels open source en détectant les comportements malveillants, en informant les consommateurs du choix des packages et en fournissant aux chercheurs des données sur l'écosystème. 

Google, qui est partie prenante de ce projet, souligne que "aujourd'hui, il est beaucoup trop facile pour les acteurs malveillants de faire circuler des packages malveillants qui attaquent les systèmes et les utilisateurs exécutant ces logiciels." D'où l'implication de l'entreprise dans ce projet. Dans un billet, Mountain View partage d'intéressants résultats d'analyses effectuées par Package Analysis. Par exemple un package Python malveillant attaquant le client de bureau pour Discord sous Windows, notamment en téléchargeant une porte dérobée à partir de GitHub. Ce package, discordcmd, a été détecté par Package Analysis.

Package Analysis est un logiciel libre sous licence Apache 2.0, disponible sur GitHub.