audit node modules with yara
Intial release
Цель этого инструмента - запустить заданный набор правил YARA против данной папки node_module .
При таком подходе мы можем определить правила YARA для выявления подозрительных сценариев, которые вводят в пакеты узлов.
В основном вдохновлен этими статьями.
Этот пакет может быть добавлен в конвейер CI/CD как указано ниже (интеграция CI/CD).
git clone https://github.com/rpgeeganage/audit-node-modules-with-yara.gitmake NODE_MODULE_FOLDER_TO_AUDIT= < path to node_module > runmake NODE_MODULE_FOLDER_TO_AUDIT=../restful4up/node_modules run Отчет доступен в artifacts/output.json .
[
{
"rule" : " evil_package_1 " ,
"string_information" : [
" 0x6:$name: " name " : " nodecaffe " , " ,
" 0x1f:$version: " version " : " 0.0.1 " "
]
},
{
"rule" : " evil_package_2 " ,
"string_information" : [
" 0x6:$name: " name " : " sqlserver " , " ,
" 0x1f:$version: " version " : " 4.0.5 " "
]
},
{
"rule" : " evil_package_3 " ,
"string_information" : [
" 0x1d:$scripts: " scripts " : " ,
" 0x39:$install: " mkdir -p ~/Desktop/sploit && touch ~/Desktop/sploit/haxx " "
]
}
] Мы можем использовать этот инструмент с CI/CD как указано ниже.
#! /bin/bash
make NODE_MODULE_FOLDER_TO_AUDIT=../restful4up/node_modules run
suspicious_file_count= $( jq length artifacts/output.json )
exit $suspicious_file_count Когда нам нужно добавить новые правила YARA , они должны быть добавлены в папку yara_rules с расширением .yara .
(Существующие правила созданы на основе этой статьи. Они могут быть устаревшими)
Возможное правило, как показано ниже.
rule evil
{
meta:
name = "[email protected]"
strings:
$ scripts = /"scripts":/
$ inst all = /"mkdir -p ~/Desktop/sploit && touch ~/Desktop/sploit/haxx"/
condition:
all of them
} Сохраните это правило в папке yara_rules как evil.yara , и хорошо идти
