哪些NPM仓库更易遭供应链攻击？研究员给出了预测指标

 聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

攻击者可通过多种方法感染开源包并分发恶意代码，投毒数百万程序。美国北卡罗莱纳州立大学 (NCSU) 和微软公司的研究员提供了保护软件供应链的一种新方法。他们使用基于数据的实证方法预测哪些开源包更易成为攻击目标。

这项研究针对的是NPM仓库中的163万个程序包，除了开源软件供应链中的六个弱点指标。据此行动可帮助维护人员和用户更好地做出安全决策并保护软件免受潜在的供应链攻击。

NCSU 大学的博士生兼论文第一作者 Nusrat Zahan 指出，“学术界和业界的安全研究员正在积极调查生态系统中的攻击以提出解决方案；这些方法似乎基于特定的恶意攻击实例中（如 typosquatting、依赖混淆）。因此这些方法在阻止恶意代码分发方面尤其有效。但最近发生的攻击活动表明开箱即用的 exploit 策略将一而再再而三地出现。”

Zahan 提醒称，“任何特别的解决方案均不足以阻止我们尚未见到过的攻击。”

研究发现了六个关键指标，表明NPM程序包可能会被恶意人员攻陷：

1、 2818名维护人员的域名已过期。攻击者可购买过期域名并借此劫持维护人员的账户，除非部署了双因素认证机制。

2、 约2% (33,000个) 的程序包中包含安装脚本。安装脚本在程序包安装前、中、后自动运行。这些安装脚本如遭攻陷，则可导致攻击者在主机设备上执行恶意活动，如传输用户数据、下载恶意payload、执行反向 shell 或删除文件和目录。

3、 约59%的程序包未维护的状态已持续两年。另外，44%的维护人员不再活跃的状态已持续两年的时间。不在维护状态的程序包遭攻陷但未被检测出的几率更大。不活跃的维护人员可能会遭账户劫持攻击且不会被注意到。

4、一些程序包（占比较少）拥有太多的维护人员，增加了至少一个维护人员账户被攻陷的可能性。

5、某些程序包的贡献人员太多，使维护人员难以为所有变更打标签。攻击者可通过社工伪装成受信任贡献人员，为后续偷偷注入恶意代码做准备。

6、 前1%的维护人员超负荷，平均拥有180个程序包。这些维护人员遭攻击的可能性更大，原因有二：第一，这些维护人员更容易忽视对某些特定程序包做出的变更；第二，如这些维护人员的账户被攻陷，则可被用于访问很多个程序包。

Zahan 指出，“如果查看不用的供应链攻击，就常常会发现攻击者使用我们此前未注意到的新技术提出解决方案。我们的研究旨在推动实践者们采用最佳安全事件而不是等待攻击发生。”

经过对数百名NPM 程序包维护人员的调查，研究人员协同发布了自己的研究成果。多数参与人员认可前三个指标的严重性，并对接受这些方面的潜在问题感兴趣。

研究人员建议，NPM仓库的维护人员可以基于所识别的潜在问题指标，计算并展示风险模型。这类模型将使程序包管理器评估程序包的安全并解决潜在的弱点方面。它还将使程序包用户在将新程序包集成到开发管道前，做出更充分、基于数据的决策并做出比对。

Zahan 总结称，“在选择任何程序包之前，请先考虑程序包的安全。不要只因为其他人也在使用就使用某个程序包。我们和 OpenSSF、Metrics、Scorecard 和 Best Practices Badge 项目一起提出的薄弱链条是测试供应链中程序包风险的良好开头。”