0 added
0 removed
Original
2026-01-01
Modified
2026-02-21
1
<p>Любитель научной фантастики и технологического прогресса. Хорошо сочетает в себе заумного технаря и утончённого гуманитария. Пишет про IT и радуется этому.</p>
1
<p>Любитель научной фантастики и технологического прогресса. Хорошо сочетает в себе заумного технаря и утончённого гуманитария. Пишет про IT и радуется этому.</p>
2
<p><strong>Что случилось?</strong>Фонд OpenSSF<a>представил</a>открытый проект<a>Package Analysis</a>. Инструмент помогает анализировать пакеты на наличие вредоносного кода. Проект написан на языке Go и <a>распространяется</a>под лицензией Apache 2.0.</p>
2
<p><strong>Что случилось?</strong>Фонд OpenSSF<a>представил</a>открытый проект<a>Package Analysis</a>. Инструмент помогает анализировать пакеты на наличие вредоносного кода. Проект написан на языке Go и <a>распространяется</a>под лицензией Apache 2.0.</p>
3
<p><strong>Как он работает?</strong>Package Analysis изучает поведение и возможности пакетов в открытых репозиториях. Инструмент проверяет, к каким файлам они имеют доступ, на какие адреса отправляют данные и какие команды запускают. Ещё анализатор следит за обновлениями пакетов, чтобы понимать, когда они начинают вести себя подозрительно.</p>
3
<p><strong>Как он работает?</strong>Package Analysis изучает поведение и возможности пакетов в открытых репозиториях. Инструмент проверяет, к каким файлам они имеют доступ, на какие адреса отправляют данные и какие команды запускают. Ещё анализатор следит за обновлениями пакетов, чтобы понимать, когда они начинают вести себя подозрительно.</p>
4
<p><strong>И что?</strong>Всего за один месяц анализа npm- и PyPI- репозиториев специалисты из OpenSSF выявили 200 пакетов с вредоносным кодом. На GitHub-странице проекта разработчики<a>рассказали</a>про некоторые из пакетов с подозрительной активностью:</p>
4
<p><strong>И что?</strong>Всего за один месяц анализа npm- и PyPI- репозиториев специалисты из OpenSSF выявили 200 пакетов с вредоносным кодом. На GitHub-странице проекта разработчики<a>рассказали</a>про некоторые из пакетов с подозрительной активностью:</p>
5
<ul><li>discordcmd - PyPI-пакет, который загружает код бэкдора и устанавливает его в каталог Windows-клиента Discord, а затем ищет Discord-токены в файловой системе и отправляет на внешний сервер;</li>
5
<ul><li>discordcmd - PyPI-пакет, который загружает код бэкдора и устанавливает его в каталог Windows-клиента Discord, а затем ищет Discord-токены в файловой системе и отправляет на внешний сервер;</li>
6
<li>colorsss - npm-пакет, который также пересылает токены от учётной записи в Discord на внешний сервер;</li>
6
<li>colorsss - npm-пакет, который также пересылает токены от учётной записи в Discord на внешний сервер;</li>
7
<li>@roku-web-core/ajax - npm-пакет, который в процессе установки отправляет данные о системе и запускает обработчик (reverse shell), принимающий внешние соединения и запускающий команды;</li>
7
<li>@roku-web-core/ajax - npm-пакет, который в процессе установки отправляет данные о системе и запускает обработчик (reverse shell), принимающий внешние соединения и запускающий команды;</li>
8
<li>secrevthree - PyPI-пакет, который запускает reverse shell при импортировании определённого модуля;</li>
8
<li>secrevthree - PyPI-пакет, который запускает reverse shell при импортировании определённого модуля;</li>
9
<li>random-vouchercode-generator - npm-пакет, который после импортирования библиотеки отправляет запрос на внешний сервер и получает команду и время её запуска.</li>
9
<li>random-vouchercode-generator - npm-пакет, который после импортирования библиотеки отправляет запрос на внешний сервер и получает команду и время её запуска.</li>
10
</ul><p>Большая часть вредоносных пакетов манипулирует пересечением имён с внутренними зависимостями - dependency confusion - или использует<a>тайпсквоттинг</a>. А ещё - запускает скрипты и обращается к внешним хостам.</p>
10
</ul><p>Большая часть вредоносных пакетов манипулирует пересечением имён с внутренними зависимостями - dependency confusion - или использует<a>тайпсквоттинг</a>. А ещё - запускает скрипты и обращается к внешним хостам.</p>
11
<p>По мнению специалистов из OpenSSF, часть из обнаруженных пакетов - это, скорее всего, проекты исследователей по безопасности, которые участвовали в программах выявления уязвимостей (bug bounty).</p>
11
<p>По мнению специалистов из OpenSSF, часть из обнаруженных пакетов - это, скорее всего, проекты исследователей по безопасности, которые участвовали в программах выявления уязвимостей (bug bounty).</p>
12
<p>Подробнее про Package Analysis можно посмотреть на <a>GitHub-странице проекта</a>.</p>
12
<p>Подробнее про Package Analysis можно посмотреть на <a>GitHub-странице проекта</a>.</p>
13
<a><b>Бесплатный курс по Python ➞</b>Мини-курс для новичков и для опытных кодеров. 4 крутых проекта в портфолио, живое общение со спикером. Кликните и узнайте, чему можно научиться на курсе. Смотреть программу</a>
13
<a><b>Бесплатный курс по Python ➞</b>Мини-курс для новичков и для опытных кодеров. 4 крутых проекта в портфолио, живое общение со спикером. Кликните и узнайте, чему можно научиться на курсе. Смотреть программу</a>