Kitabxanaların təhlükəsizliyini təhlil edən Packj platformasının tərtibatçıları zərərli fəaliyyətin həyata keçirilməsi və ya hücumların həyata keçirilməsi üçün istifadə olunan boşluqların mövcudluğu ilə əlaqəli ola biləcək paketlərdə riskli strukturları müəyyən etməyə imkan verən açıq komanda xətti alətlər dəstini dərc ediblər. sözügedən paketlərdən istifadə edən layihələr üzrə (“təchizat zənciri”). Paket yoxlanışı PyPi və NPM qovluqlarında yerləşdirilən Python və JavaScript dillərində dəstəklənir (onlar həmçinin bu ay Ruby və RubyGems üçün dəstək əlavə etməyi planlaşdırırlar). Alətlər dəsti kodu Python-da yazılmışdır və AGPLv3 lisenziyası altında paylanmışdır.
PyPi repozitoriyasında təklif olunan alətlərdən istifadə etməklə 330 min paketin təhlili zamanı arxa qapıları olan 42 zərərli paket və 2.4 min riskli paket müəyyən edilib. Yoxlama zamanı API xüsusiyyətlərini müəyyən etmək və OSV verilənlər bazasında qeyd olunan məlum zəifliklərin mövcudluğunu qiymətləndirmək üçün statik kod təhlili aparılır. API-ni təhlil etmək üçün MaLOSS paketindən istifadə olunur. Paket kodu zərərli proqramlarda geniş istifadə olunan tipik nümunələrin mövcudluğu üçün təhlil edilir. Şablonlar zərərli fəaliyyəti təsdiqlənmiş 651 paketin öyrənilməsi əsasında hazırlanıb.
O, həmçinin “qiymətləndirmə” və ya “exec” vasitəsilə blokların icrası, işləyərkən yeni kodun yaradılması, qarışıq kod üsullarından istifadə, mühit dəyişənlərinin manipulyasiyası və hədəf olmayan giriş kimi sui-istifadə riskinin artmasına səbəb olan atributları və metaməlumatları müəyyən edir. faylları, quraşdırma skriptlərində (setup.py) şəbəkə resurslarına daxil olmaq, tipkvatasiyadan istifadə etmək (məşhur kitabxanaların adlarına oxşar adlar təyin etmək), köhnəlmiş və tərk edilmiş layihələri müəyyən etmək, mövcud olmayan e-poçt və veb saytları dəqiqləşdirmək, kodu olan ictimai deponun olmaması.
Əlavə olaraq, digər təhlükəsizlik tədqiqatçıları tərəfindən PyPi repozitoriyasında ətraf mühit dəyişənlərinin məzmununu AWS və davamlı inteqrasiya sistemləri üçün tokenlərin oğurlanması gözləntisi ilə xarici serverə göndərən beş zərərli paketin identifikasiyasını qeyd edə bilərik: loglib modulları (kimi təqdim olunur) qanuni loglib kitabxanası üçün modullar), pyg-modullar, pygrata və pygrata-utils (qanuni pyg kitabxanasına əlavələr kimi təqdim olunur) və hkg-sol-utils.
Mənbə: opennet.ru