audit node modules with yara
Intial release
Tujuan dari alat ini adalah untuk menjalankan set aturan YARA yang diberikan terhadap folder node_module yang diberikan.
Dengan pendekatan ini, kita dapat mendefinisikan aturan YARA untuk mengidentifikasi skrip mencurigakan yang disuntikkan ke dalam paket simpul.
Terutama terinspirasi oleh artikel -artikel ini.
Paket ini dapat ditambahkan ke pipa CI/CD seperti yang disebutkan di bawah ini (integrasi CI/CD).
git clone https://github.com/rpgeeganage/audit-node-modules-with-yara.gitmake NODE_MODULE_FOLDER_TO_AUDIT= < path to node_module > runmake NODE_MODULE_FOLDER_TO_AUDIT=../restful4up/node_modules run Laporan ini tersedia dalam artifacts/output.json .
[
{
"rule" : " evil_package_1 " ,
"string_information" : [
" 0x6:$name: " name " : " nodecaffe " , " ,
" 0x1f:$version: " version " : " 0.0.1 " "
]
},
{
"rule" : " evil_package_2 " ,
"string_information" : [
" 0x6:$name: " name " : " sqlserver " , " ,
" 0x1f:$version: " version " : " 4.0.5 " "
]
},
{
"rule" : " evil_package_3 " ,
"string_information" : [
" 0x1d:$scripts: " scripts " : " ,
" 0x39:$install: " mkdir -p ~/Desktop/sploit && touch ~/Desktop/sploit/haxx " "
]
}
] Kami dapat menggunakan alat ini dengan CI/CD seperti yang disebutkan di bawah ini.
#! /bin/bash
make NODE_MODULE_FOLDER_TO_AUDIT=../restful4up/node_modules run
suspicious_file_count= $( jq length artifacts/output.json )
exit $suspicious_file_count Ketika kita perlu menambahkan aturan YARA baru, mereka harus ditambahkan ke folder yara_rules dengan ekstensi .yara .
(Aturan yang ada dibuat berdasarkan artikel ini. Mereka mungkin sudah ketinggalan zaman)
Aturan yang mungkin adalah seperti di bawah ini.
rule evil
{
meta:
name = "[email protected]"
strings:
$ scripts = /"scripts":/
$ inst all = /"mkdir -p ~/Desktop/sploit && touch ~/Desktop/sploit/haxx"/
condition:
all of them
} Simpan aturan ini di folder yara_rules sebagai evil.yara , dan bagus untuk pergi
