开源安全基金会 (OpenSSF) 是一个由 Linux 基金会支持的计划，它发布了“包分析”工具的第一个原型版本，旨在捕捉和对抗对开源注册表的恶意攻击。

在持续不到一个月的试运行中，在 GitHub 上发布的开源项目能够识别 200 多个恶意 npm 和 PyPI 包。

项目旨在打击开源注册表中的恶意软件
本周，OpenSSF 在 GitHub 上发布了“包分析”项目的初始原型版本。

项目存储库包含分析开源包的工具，特别是用于寻找恶意 npm 和 PyPI 包的工具。

“包分析项目旨在了解开源存储库中可用包的行为和功能：它们访问哪些文件、连接到哪些地址以及运行哪些命令？” 请解释参与 OpenSSF 保护关键项目工作组的 Caleb Brown 和 David A. Wheeler。

“该项目还跟踪包的行为随时间的变化，以确定以前安全的软件何时开始出现可疑行为。”

据 OpenSSF称，在持续不到一个月的测试运行中，Package Analysis 能够识别出 200 多个恶意 PyPI 和 npm 组件。

OpenSSF 表示，这些恶意程序包中的绝大多数都是依赖混淆和仿冒 攻击。

在包分析识别的所有恶意包中，其中之一是以前被认为是恶意的“colorsss” ：

恶意 npm 域名仿冒“colorsss” （ZZQIDC）
'colorsss' 包是流行的颜色npm 库的仿冒域名，正如ZZQIDC首次报道的那样，其开发人员今年 1 月已破坏了该库的部分版本。

根据ZZQIDC从开源安全公司 Sonatype 获得的软件包存档副本，除了包含来自颜色库的一些合法文件外，恶意的“colorsss”还包含混淆的恶意软件：

“colorsss”中的混淆代码包含 Discord 令牌窃取程序，这是恶意 npm 包中反复出现的主题。

OpenSSF 在本周发布的一篇博文中表示：“尽管该项目已经开发了一段时间，但直到最近才根据初步经验进行了大量修改后才变得有用。”

“参与这个项目的机会很多，我们欢迎任何有兴趣为未来目标做出贡献的人......检测包行为随时间变化的差异；自动处理包分析结果；将包本身存储为进行处理以进行长期分析；并提高管道的可靠性。”

全面披露：我作为成员定期参加 OpenSSF 小组会议。这篇文章中提到的恶意仿冒域名“colorsss”之前已经由包括我在内的 Sonatype 安全研究团队进行了分析。