Los investigadores de seguridad de APIIRO han publicado dos herramientas gratuitas de código abierto diseñadas para detectar y bloquear el malware antes de ser agregado a proyectos de software para ralentizar los ataques de la cadena de suministro.
Las dos herramientas están compuestas por una regla completa de reglas para SemGrep y OpenGrep diseñados para detectar modelos de malware con un mínimo de falsos positivos y prevenir, un escáner integrado en GitHub, que detecta y alertas sobre el código sospechoso en solicitudes de tracción (PRS) .
De acuerdo a ApiiroMatan Giladi, investigador de seguridad, las herramientas tienen una tasa de detección falsa mínima, lo que los hace particularmente preciosos en la práctica del mundo real.
Más específicamente, la precisión de detectar el conjunto de reglas para los paquetes PYPI es del 94.3%, mientras que cae en 88.4% aún impresionante para los paquetes de NPM. Profesor Malveilant con el 91.5% de los casos examinados.
Fuente: Apiiro
Ser malicioso
La estrategia de detección de código maliciosa de Apiiro se basa en la identificación del “código contra los motores”, que son modelos sospechosos en el código que demuestran comportamientos que son raros en el código legítimo pero común en el software malicioso.
El sistema de detección utiliza un análisis estático, lo que significa que examina el código sin ejecutarlo, manteniendo el entorno alejado de las infecciones accidentales.
Estos antimotivos incluyen:
- Varios métodos oscuros, como la codificación, las transformaciones anidadas y las modificaciones de ejecución que ayudan a enmascarar las funcionalidades y la intención del código.
- Uso de ejecut (), eval () o funciones similares, que permiten la ejecución del código arbitrario para la ejecución.
- Código que descarga y ejecuta cargas útiles de servidores externos y desconocidos.
- Métodos de exfiltración de datos del usuario sensibles a ubicaciones externas.
Este conjunto de reglas se puede integrar en tuberías CI / CD para el escaneo automático del repositorio, utilizado para el escaneo de los paquetes NPM y Pypi, o adaptado a otras plataformas con SEMGREP o OpenGrep.
Empower, que utiliza los mismos antimotores, está diseñado para escanear eventos de demanda de tracción en tiempo real antes de la fusión del código, deteniendo todas las amenazas antes de alcanzar la producción.
Fuente: Apiiro
Se puede definir para bloquear la fusión hasta que un examinador autorizado apruebe o agregue comentarios sobre los problemas detectados para garantizar que los desarrolladores sean alertados de los riesgos.
Fuente: Apiiro
APIIRO reconoce que sus herramientas siempre son prácticamente limitadas, ya que no pueden detectar malware oculto en binarios compilados o escanear directamente los paquetes NPM y PYPI, pero planea agregar más funcionalidades, como un análisis de código profundo y análisis asistidos por IA en futuras actualizaciones.
Ambos Conjunto de detección de código de maliculante y el Evitar la herramienta están disponibles de forma gratuita en GitHub, con instrucciones sobre cómo usarlos.
BleepingCompute no ha probado estas herramientas de seguridad y no puede garantizar su eficiencia o seguridad.