由 Linux 基金会提供支持的开源安全基金会 (OpenSSF) 发布了一个 Package Analysis —— “包分析”工具，该工具可以识别各类恶意软件，捕捉和对抗对开源注册表的恶意攻击。

Package Analysis 项目旨在了解开源存储库中可用包的行为和功能：它们访问哪些文件、连接到哪些地址以及运行哪些命令。

该项目还跟踪包的行为随时间的变化，以确定以前安全的软件何时开始出现可疑行为。

据 OpenSSF称，在持续不到一个月的测试运行中，Package Analysis 已经能够识别出 200 多个恶意 PyPI 和 npm 组件。绝大多数恶意包都是依赖混淆和仿冒攻击。比如 “colorsss” npm 包，据外媒 bleepingcomputer 介绍，“colorsss” 包是流行的 "colors" npm 库的仿冒域名，但除了包含来自 colors 库的一些合法文件外，恶意的“colorsss”包还包含混淆的恶意软件：

如图所示，“colorsss”中的混淆代码包含 Discord 令牌窃取程序，这是非常常用的恶意软件。

 OpenSSF 在本周发布的一篇博文中表示：“尽管该项目已经开发了一段时间，但直到最近根据初步经验进行了大量修改后才变得有用。” 而该 Package Analysis 工具下一步的优化计划如下：

• 随着时间的推移，检测包行为的差异；
• 自动处理包分析结果；
• 在处理包时，存储包本身以进行长期分析； 
• 提高管道的可靠性。

(文/开源中国)