Pesquisadores de segurança da Apiiro apresentaram duas ferramentas gratuitas e de código aberto para detectar e impedir a inclusão de códigos maliciosos em projetos de software, fortalecendo a segurança da cadeia de suprimentos.
Apiiro lança scanner gratuito para identificar código malicioso
Ferramentas para análise de código suspeito
As soluções incluem um conjunto de regras para Semgrep e Opengrep, voltado para a identificação de padrões maliciosos com mínima incidência de falsos positivos. Além disso, o PRevent, um scanner integrado ao GitHub, analisa solicitações de pull (PRs) em tempo real, alertando sobre possíveis ameaças antes da mesclagem do código.
De acordo com Matan Giladi, pesquisador de segurança da Apiiro, essas ferramentas apresentam alta precisão na detecção, reduzindo a ocorrência de falsos positivos. Os testes indicam que as regras atingem 94,3% de precisão na análise de pacotes PyPI e 88,4% em pacotes npm, enquanto o PRevent identifica PRs maliciosos com 91,5% de eficácia.
Como funciona a detecção de código malicioso?
A tecnologia da Apiiro baseia-se na identificação de “antipadrões de código”, caracterizados por comportamentos raros em códigos lícitos, mas comuns em malwares. A análise é realizada estaticamente, garantindo que o ambiente de desenvolvimento permaneça seguro contra infecções.
Entre os elementos identificados estão:
Notícias Relacionadas
Cozystack é agora um projeto reconhecido pela CNCF!
Cozystack se torna um projeto sandbox da CNCF, garantindo sua evolução e suporte a nuvens privadas. Entenda a importância!
Segurança digital
GSMA implementa criptografia de ponta a ponta no RCS para mensagens seguras entre plataformas
A GSMA confirmou a adoção da criptografia de ponta a ponta (E2EE) no RCS, garantindo maior segurança para mensagens trocadas entre Android e iOS. A proteção será baseada no protocolo MLS e permitirá comunicações mais seguras entre diferentes provedores.
- Uso de técnicas de ofuscação, como codificação e transformações dinâmicas;
- Comandos como
exec()eeval(), que permitem a execução arbitrária de código; - Código que faz download e execução de arquivos externos;
- Métodos de exfiltração de dados sigilosos.
Essas regras podem ser incorporadas em pipelines de CI/CD, permitindo a varredura automática de repositórios e pacotes npm e PyPI. O PRevent, por sua vez, bloqueia automaticamente a mesclagem de PRs suspeitos, exigindo aprovação de revisores antes da inclusão do código.
Limitações e planos futuros
Atualmente, as ferramentas não conseguem analisar malware oculto em binários compilados nem realizar verificações diretas em pacotes npm e PyPI. No entanto, a Apiiro pretende expandir suas capacidades com análises aprofundadas e integração de inteligência artificial em futuras atualizações.
Os interessados podem acessar gratuitamente o conjunto de regras e o scanner PRevent no GitHub, onde também estão disponíveis instruções de uso.
