audit node modules with yara

audit node modules with yara

其他类别

Intial release

下载

带有Yara规则的审核节点模块

（高度赞赏新规则，反馈，公关）

内容表

目的
软件要求
如何使用
CI/CD集成
添加Yara新规则

目的

此工具的目的是针对给定的node_module文件夹运行给定的YARA规则。
使用这种方法，我们可以定义YARA规则以识别注入节点软件包的可疑脚本。
主要受这些文章的启发。
- NPM中的恶意软件包。这是该怎么办
- 恶意NPM软件包靶向亚马逊，带有新的依赖性攻击的松弛
- 狩猎恶意NPM软件包
该软件包可以添加到CI/CD管道中，如下所述（CI/CD集成）。

软件要求

Docker
Docker组成
makefile

如何使用

克隆这个仓库

git clone https://github.com/rpgeeganage/audit-node-modules-with-yara.git

执行审计操作

make NODE_MODULE_FOLDER_TO_AUDIT= < path to node_module > run

例如：

make NODE_MODULE_FOLDER_TO_AUDIT=../restful4up/node_modules run

报告

该报告可在artifacts/output.json中找到。

样本报告如下

[
 {
  "rule" : " evil_package_1 " ,
  "string_information" : [
   " 0x6:$name: " name " : " nodecaffe " , " ,
   " 0x1f:$version: " version " : " 0.0.1 " "
  ]
 },
 {
  "rule" : " evil_package_2 " ,
  "string_information" : [
   " 0x6:$name: " name " : " sqlserver " , " ,
   " 0x1f:$version: " version " : " 4.0.5 " "
  ]
 },
 {
  "rule" : " evil_package_3 " ,
  "string_information" : [
   " 0x1d:$scripts: " scripts " : " ,
   " 0x39:$install: " mkdir -p ~/Desktop/sploit && touch ~/Desktop/sploit/haxx " "
  ]
 }
]

CI/CD集成

如下所述，我们可以将此工具与CI/CD一起使用。

 #! /bin/bash
make NODE_MODULE_FOLDER_TO_AUDIT=../restful4up/node_modules run

suspicious_file_count= $( jq length artifacts/output.json )

exit $suspicious_file_count

添加Yara新规则

当我们需要添加新的YARA规则时，必须将它们添加到带有扩展名.yara yara_rules文件夹中。

（现有规则是根据本文创建的。它们可能已过时）

样本yara规则

让我们为此可能的恶意软件包创建一个规则。

可能的规则如下。

rule evil
{
    meta:
        name = "[email protected]"

    strings:
        $ scripts = /"scripts":/
        $ inst all = /"mkdir -p ~/Desktop/sploit && touch ~/Desktop/sploit/haxx"/

    condition:
        all of them
}

将此规则保存在yara_rules evil.yara夹中

展开

附加信息