La Open Source Security Foundation (OpenSSF) ha anunciado un nuevo proyecto cuyo objetivo es ayudar a identificar paquetes maliciosos en los repositorios de código abierto.
El proyecto de análisis de paquetes, según OpenSSF, pretende identificar el comportamiento y las capacidades de los paquetes de código abierto -incluidos los archivos a los que acceden, los comandos que admiten y las IP a las que se conectan- y rastrear las modificaciones que podrían revelar actividades sospechosas.
“Este esfuerzo pretende mejorar la seguridad del software de código abierto detectando comportamientos maliciosos, informando a los consumidores que seleccionan paquetes y proporcionando a los investigadores datos sobre el ecosistema”, afirma OpenSSF.
El proyecto, que estuvo en fase de desarrollo durante un tiempo, ha sufrido numerosos cambios y sólo recientemente ha sido útil, según la Fundación.
Package Analysis investiga dinámicamente los paquetes en repositorios populares de código abierto y coloca los resultados en una tabla de BigQuery. El proyecto ya ha identificado más de 200 paquetes maliciosos de PyPI y npm, pero la mayoría eran ataques de confusión de dependencias y typosquatting.
Los paquetes identificados solían contener un simple script diseñado para ejecutarse en la instalación y enviar a casa una pequeña cantidad de información sobre el host. Sin embargo, podían resultar mucho más perjudiciales para quienes los instalaban.
Según OpenSSF, la mayoría de estos paquetes maliciosos podrían ser obra de investigadores de seguridad, dado que no se exfiltraban datos significativos y no se intentaba disimular el comportamiento.
La Fundación pide que se participe en el avance del proyecto, para mejorar la detección de comportamientos, automatizar el procesamiento de resultados, almacenar los paquetes procesados para su análisis a largo plazo y mejorar la fiabilidad.
Google, que lleva tiempo abogando por un entorno de código abierto más seguro y que es miembro de OpenSSF, ya ha anunciado su apoyo al proyecto.
“Este programa contribuye a una cadena de suministro de software más segura y a una mayor confianza en el software de código abierto. El programa también permite conocer los tipos de paquetes maliciosos más comunes en un momento dado, lo que puede orientar las decisiones sobre cómo proteger mejor el ecosistema”, afirma Google.
Según el gigante de Internet, el poco tiempo que ha necesitado el Análisis de Paquetes para identificar los proyectos maliciosos demuestra que se debería invertir más en el examen de los paquetes para mantener a los usuarios seguros.
“Este es un espacio en crecimiento, y contar con un estándar abierto para la elaboración de informes ayudaría a centralizar los resultados de los análisis y ofrecería a los consumidores un lugar de confianza para evaluar los paquetes que están considerando utilizar. La creación de un estándar abierto también debería fomentar una competencia sana, promover la integración y aumentar la seguridad general de los paquetes de código abierto”, concluyó Google.
Link al proyecto
Mr. X
Exploitables es una comunidad de ciberseguridad y tecnología nacida en Málaga. Queremos compartir conocimientos de manera desinteresada.
