audit node modules with yara - audit node modules with yara下載

audit node modules with yara

其他類別

Intial release

下載

帶有Yara規則的審核節點模塊

（高度讚賞新規則，反饋，公關）

內容表

目的
軟件要求
如何使用
CI/CD集成
添加Yara新規則

目的

此工具的目的是針對給定的node_module文件夾運行給定的YARA規則。
使用這種方法，我們可以定義YARA規則以識別注入節點軟件包的可疑腳本。
主要受這些文章的啟發。
- NPM中的惡意軟件包。這是該怎麼辦
- 惡意NPM軟件包靶向亞馬遜，帶有新的依賴性攻擊的鬆弛
- 狩獵惡意NPM軟件包
該軟件包可以添加到CI/CD管道中，如下所述（CI/CD集成）。

軟件要求

Docker
Docker組成
makefile

如何使用

克隆這個倉庫

git clone https://github.com/rpgeeganage/audit-node-modules-with-yara.git

執行審計操作

make NODE_MODULE_FOLDER_TO_AUDIT= < path to node_module > run

例如：

make NODE_MODULE_FOLDER_TO_AUDIT=../restful4up/node_modules run

報告

該報告可在artifacts/output.json中找到。

樣本報告如下

[
 {
  "rule" : " evil_package_1 " ,
  "string_information" : [
   " 0x6:$name: " name " : " nodecaffe " , " ,
   " 0x1f:$version: " version " : " 0.0.1 " "
  ]
 },
 {
  "rule" : " evil_package_2 " ,
  "string_information" : [
   " 0x6:$name: " name " : " sqlserver " , " ,
   " 0x1f:$version: " version " : " 4.0.5 " "
  ]
 },
 {
  "rule" : " evil_package_3 " ,
  "string_information" : [
   " 0x1d:$scripts: " scripts " : " ,
   " 0x39:$install: " mkdir -p ~/Desktop/sploit && touch ~/Desktop/sploit/haxx " "
  ]
 }
]

CI/CD集成

如下所述，我們可以將此工具與CI/CD一起使用。

 #! /bin/bash
make NODE_MODULE_FOLDER_TO_AUDIT=../restful4up/node_modules run

suspicious_file_count= $( jq length artifacts/output.json )

exit $suspicious_file_count

添加Yara新規則

當我們需要添加新的YARA規則時，必須將它們添加到帶有擴展名.yara yara_rules文件夾中。

（現有規則是根據本文創建的。它們可能已過時）

樣本yara規則

讓我們為此可能的惡意軟件包創建一個規則。

可能的規則如下。

rule evil
{
    meta:
        name = "[email protected]"

    strings:
        $ scripts = /"scripts":/
        $ inst all = /"mkdir -p ~/Desktop/sploit && touch ~/Desktop/sploit/haxx"/

    condition:
        all of them
}

將此規則保存在yara_rules evil.yara夾中

展開

附加信息