audit node modules with yara

• 目的
• ソフトウェア要件
• 使い方
• CI/CD統合
• ヤラの新しいルールを追加します

• このツールの目的は、指定されたnode_moduleフォルダーに対して一連のYARAルールを実行することです。

• このアプローチを使用すると、 YARAルールを定義して、ノードパッケージに注入される疑わしいスクリプトを特定できます。

• 主にこれらの記事に触発されました。

  • NPMの悪意のあるパッケージ。これが何をすべきかです
  • 悪意のあるNPMパッケージは、Amazonをターゲットにし、新しい依存関係攻撃でスラック
  • 悪意のあるNPMパッケージのハンティング

• このパッケージは、以下に説明するように、 CI/CDパイプラインに追加できます（CI/CD統合）。

• Docker
• Dockerは作曲します
• makefile

1. このレポをクローンします

git clone https://github.com/rpgeeganage/audit-node-modules-with-yara.git

2. 監査操作を実行します

make NODE_MODULE_FOLDER_TO_AUDIT= < path to node_module > run

make NODE_MODULE_FOLDER_TO_AUDIT=../restful4up/node_modules run

このレポートはartifacts/output.jsonで入手できます。

[
 {
  "rule" : " evil_package_1 " ,
  "string_information" : [
   " 0x6:$name: " name " : " nodecaffe " , " ,
   " 0x1f:$version: " version " : " 0.0.1 " "
  ]
 },
 {
  "rule" : " evil_package_2 " ,
  "string_information" : [
   " 0x6:$name: " name " : " sqlserver " , " ,
   " 0x1f:$version: " version " : " 4.0.5 " "
  ]
 },
 {
  "rule" : " evil_package_3 " ,
  "string_information" : [
   " 0x1d:$scripts: " scripts " : " ,
   " 0x39:$install: " mkdir -p ~/Desktop/sploit && touch ~/Desktop/sploit/haxx " "
  ]
 }
]

以下に言及したように、 CI/CDでこのツールを使用できます。

 #! /bin/bash
make NODE_MODULE_FOLDER_TO_AUDIT=../restful4up/node_modules run

suspicious_file_count= $( jq length artifacts/output.json )

exit $suspicious_file_count 

新しいYARAルールを追加する必要がある場合は、拡張機能を備えたyara_rulesフォルダーに追加する必要があります.yara

（既存のルールはこの記事に基づいて作成されます。それらは時代遅れかもしれません）

可能なルールは以下のとおりです。

rule evil
{
    meta:
        name = "[email protected]"

    strings:
        $ scripts = /"scripts":/
        $ inst all = /"mkdir -p ~/Desktop/sploit && touch ~/Desktop/sploit/haxx"/

    condition:
        all of them
}

このルールをyara_rulesフォルダーにevil.yaraとして保存します。