Ang mga nag-develop sa Packj nga plataporma, nga nag-analisar sa seguridad sa mga librarya, nagpatik sa usa ka bukas nga command line toolkit nga nagtugot kanila sa pag-ila sa mga peligrosong istruktura sa mga pakete nga mahimong nalangkit sa pagpatuman sa malisyosong kalihokan o sa presensya sa mga kahuyangan nga gigamit sa pag-atake. sa mga proyekto nga naggamit sa mga pakete nga gipangutana ("kadena sa suplay"). Ang pagsusi sa package gisuportahan sa Python ug JavaScript nga mga pinulongan, nga gi-host sa mga direktoryo sa PyPi ug NPM (nagplano usab sila nga magdugang og suporta alang sa Ruby ug RubyGems karong bulana). Ang code sa toolkit gisulat sa Python ug giapod-apod ubos sa lisensya sa AGPLv3.
Atol sa pag-analisar sa 330 ka libo nga mga pakete gamit ang gisugyot nga mga himan sa PyPi repository, 42 ka malisyoso nga mga pakete nga adunay backdoors ug 2.4 ka libo nga peligroso nga mga pakete ang giila. Atol sa pag-inspeksyon, usa ka static nga pag-analisa sa code ang gihimo aron mahibal-an ang mga bahin sa API ug susihon ang presensya sa nahibal-an nga mga kahuyangan nga nahibal-an sa database sa OSV. Ang MalOSS nga pakete gigamit sa pag-analisar sa API. Ang package code gisusi alang sa presensya sa mga tipikal nga sumbanan nga sagad gigamit sa malware. Ang mga templates giandam base sa usa ka pagtuon sa 651 ka pakete nga adunay kumpirmadong malisyoso nga kalihokan.
Gipaila usab niini ang mga hiyas ug metadata nga mosangpot sa dugang nga risgo sa sayop nga paggamit, sama sa pagpatuman sa mga bloke pinaagi sa "eval" o "exec," paghimo og bag-ong code samtang nagdagan, gamit ang mga teknik sa obfuscated code, pagmaniobra sa environment variables, ug non-target access. mga file, pag-access sa mga kapanguhaan sa network sa mga script sa pag-install (setup.py), gamit ang typequatting (pag-assign sa mga ngalan nga parehas sa mga ngalan sa mga sikat nga librarya), pag-ila sa mga karaan ug gibiyaan nga mga proyekto, pagtino sa wala’y mga email ug website, kakulang sa usa ka publiko nga repository nga adunay code.
Dugang pa, atong mamatikdan ang pag-ila sa ubang mga tigdukiduki sa seguridad sa lima ka malisyoso nga mga pakete sa PyPi repository, nga nagpadala sa mga sulod sa environment variables ngadto sa usa ka eksternal nga server uban ang pagdahom sa pagpangawat sa mga token alang sa AWS ug padayon nga integration system: loglib-modules (gipresentar isip modules para sa lehitimong loglib library), pyg-modules , pygrata ug pygrata-utils (gitawag nga mga pagdugang sa lehitimong pyg library) ug hkg-sol-utils.
Source: opennet.ru