audit node modules with yara
Intial release
Der Zweck dieses Tools besteht darin, einen bestimmten Satz von YARA -Regeln gegen den angegebenen Ordner node_module auszuführen.
Mit diesem Ansatz können wir YARA -Regeln definieren, um verdächtige Skripte zu identifizieren, die in Knotenpakete injiziert werden.
Hauptsächlich inspiriert von diesen Artikeln.
Dieses Paket kann der CI/CD -Pipeline wie unten erwähnt (CI/CD -Integration) hinzugefügt werden.
git clone https://github.com/rpgeeganage/audit-node-modules-with-yara.gitmake NODE_MODULE_FOLDER_TO_AUDIT= < path to node_module > runmake NODE_MODULE_FOLDER_TO_AUDIT=../restful4up/node_modules run Der Bericht ist in artifacts/output.json verfügbar.
[
{
"rule" : " evil_package_1 " ,
"string_information" : [
" 0x6:$name: " name " : " nodecaffe " , " ,
" 0x1f:$version: " version " : " 0.0.1 " "
]
},
{
"rule" : " evil_package_2 " ,
"string_information" : [
" 0x6:$name: " name " : " sqlserver " , " ,
" 0x1f:$version: " version " : " 4.0.5 " "
]
},
{
"rule" : " evil_package_3 " ,
"string_information" : [
" 0x1d:$scripts: " scripts " : " ,
" 0x39:$install: " mkdir -p ~/Desktop/sploit && touch ~/Desktop/sploit/haxx " "
]
}
] Wir können dieses Tool mit CI/CD wie unten erwähnt verwenden.
#! /bin/bash
make NODE_MODULE_FOLDER_TO_AUDIT=../restful4up/node_modules run
suspicious_file_count= $( jq length artifacts/output.json )
exit $suspicious_file_count Wenn wir neue YARA -Regeln hinzufügen müssen, müssen sie dem Ordner yara_rules mit Erweiterung .yara hinzugefügt werden.
(Bestehende Regeln werden basierend auf diesem Artikel erstellt. Sie könnten veraltet sein)
Eine mögliche Regel ist wie unten.
rule evil
{
meta:
name = "[email protected]"
strings:
$ scripts = /"scripts":/
$ inst all = /"mkdir -p ~/Desktop/sploit && touch ~/Desktop/sploit/haxx"/
condition:
all of them
} Speichern Sie diese Regel im Ordner yara_rules als evil.yara Yara, und gut zu gehen
