Pesquisadores de segurança da Apiiro lançaram duas ferramentas gratuitas e de código aberto destinadas a detectar e bloquear código malicioso antes de serem adicionados a projetos de software para combater ataques à cadeia de suprimentos.
As duas ferramentas consistem em um conjunto de regras abrangente para Semgrep e Opengrep projetado para detectar padrões de código malicioso com mínimos falsos positivos e PRevent, um scanner integrado ao GitHub, que detecta e alerta sobre código suspeito em pull requests (PRs).
De acordo com o pesquisador de segurança da Apiiro, Matan Giladi, as ferramentas têm uma taxa de detecção de falsos positivos minimamente, tornando-as particularmente valiosas na prática real.
Especificamente, a precisão da detecção do conjunto de regras para pacotes PyPI é de 94,3%, enquanto cai para os ainda impressionantes 88,4% para pacotes npm.
O PRevent sinaliza com sucesso PRs maliciosos em 91,5% dos casos examinados.
A estratégia de detecção de código malicioso da Apiiro é baseada na identificação de "anti-padrões de código", que são padrões suspeitos no código que demonstram comportamentos que são raros em código legítimo, mas comuns em malware.
O sistema de detecção utiliza análise estática, o que significa que examina o código sem executá-lo, mantendo o ambiente seguro de infecções acidentais.
Esses anti-padrões incluem:
- Vários métodos de ofuscação como codificação, transformações aninhadas, e modificações em tempo de execução que ajudam a ocultar a funcionalidade e intenção do código.
- Uso de funções exec(), eval(), ou similares, que permitem a execução de código arbitrário em tempo de execução.
- Código que baixa e executa payloads remotos de servidores externos, desconhecidos.
- Métodos para exfiltrar dados sensíveis de usuários para localizações externas.
Esse conjunto de regras pode ser integrado em pipelines CI/CD para varreduras automáticas de repositórios, usado para varredura de pacotes npm e PyPI, ou adaptado para outras plataformas usando Semgrep ou Opengrep.
PRevent, que utiliza os mesmos anti-padrões, é projetado para escanear eventos de pull request em tempo real antes que o código seja mesclado, interrompendo quaisquer ameaças antes que elas cheguem à produção.
Pode ser configurado para bloquear a mesclagem até que um revisor autorizado aprove, ou adicionar comentários sobre problemas detectados para garantir que os desenvolvedores sejam alertados dos riscos.
A Apiiro reconhece que suas ferramentas ainda são limitadas na prática, já que não podem detectar malware oculto em binários compilados nem escanear pacotes npm e PyPI diretamente, mas planeja adicionar mais recursos como análise de código profundo e varreduras assistidas por IA em atualizações futuras.
Tanto o conjunto de regras de detecção de código malicioso quanto a ferramenta PRevent estão disponíveis gratuitamente no GitHub, com instruções sobre como usá-las.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...