audit node modules with yara
Intial release
الغرض من هذه الأداة هو تشغيل مجموعة معينة من قواعد YARA مقابل مجلد node_module المحدد.
مع هذا النهج ، يمكننا تحديد قواعد YARA لتحديد البرامج النصية المشبوهة التي يتم حقنها في حزم العقدة.
مستوحاة بشكل رئيسي من هذه المقالات.
يمكن إضافة هذه الحزمة إلى خط أنابيب CI/CD كما هو مذكور أدناه (تكامل CI/CD).
git clone https://github.com/rpgeeganage/audit-node-modules-with-yara.gitmake NODE_MODULE_FOLDER_TO_AUDIT= < path to node_module > runmake NODE_MODULE_FOLDER_TO_AUDIT=../restful4up/node_modules run التقرير متاح في artifacts/output.json .
[
{
"rule" : " evil_package_1 " ,
"string_information" : [
" 0x6:$name: " name " : " nodecaffe " , " ,
" 0x1f:$version: " version " : " 0.0.1 " "
]
},
{
"rule" : " evil_package_2 " ,
"string_information" : [
" 0x6:$name: " name " : " sqlserver " , " ,
" 0x1f:$version: " version " : " 4.0.5 " "
]
},
{
"rule" : " evil_package_3 " ,
"string_information" : [
" 0x1d:$scripts: " scripts " : " ,
" 0x39:$install: " mkdir -p ~/Desktop/sploit && touch ~/Desktop/sploit/haxx " "
]
}
] يمكننا استخدام هذه الأداة مع CI/CD كما هو مذكور أدناه.
#! /bin/bash
make NODE_MODULE_FOLDER_TO_AUDIT=../restful4up/node_modules run
suspicious_file_count= $( jq length artifacts/output.json )
exit $suspicious_file_count عندما نحتاج إلى إضافة قواعد YARA جديدة ، يجب إضافتها إلى مجلد yara_rules مع التمديد .yara .
(يتم إنشاء القواعد الحالية بناءً على هذه المقالة. قد تكون قديمة)
القاعدة المحتملة كما هو موضح أدناه.
rule evil
{
meta:
name = "[email protected]"
strings:
$ scripts = /"scripts":/
$ inst all = /"mkdir -p ~/Desktop/sploit && touch ~/Desktop/sploit/haxx"/
condition:
all of them
} احفظ هذه القاعدة في مجلد yara_rules باسم evil.yara ، ومن الجيد الذهاب
