I sviluppatori di a piattaforma Packj, chì analizà a sicurità di e biblioteche, anu publicatu un kit di strumenti di linea di cumanda aperta chì li permette di identificà strutture risicate in pacchetti chì ponu esse assuciati cù l'implementazione di attività maliciosa o a presenza di vulnerabilità utilizati per fà attacchi. nantu à i prughjetti chì utilizanu i pacchetti in quistione ("catena di supply"). A verificazione di u pacchettu hè supportatu in i linguaggi Python è JavaScript, allughjatu in i repertorii PyPi è NPM (anu ancu pensanu à aghjunghje supportu per Ruby è RubyGems stu mese). U codice toolkit hè scrittu in Python è distribuitu sottu a licenza AGPLv3.
Durante l'analisi di 330 mila pacchetti chì utilizanu l'arnesi pruposti in u repository PyPi, 42 pacchetti maliziusi cù backdoors è 2.4 mila pacchetti risichi sò stati identificati. Durante l'ispezione, un analisi di codice staticu hè realizatu per identificà e caratteristiche API è evaluà a presenza di vulnerabili cunnisciuti notati in a basa di dati OSV. U pacchettu MalOSS hè utilizatu per analizà l'API. U codice di u pacchettu hè analizatu per a presenza di mudelli tipici cumunimenti utilizati in malware. I mudelli sò stati preparati basatu annantu à un studiu di 651 pacchetti cù attività maliciosa cunfirmata.
Identifica ancu l'attributi è i metadati chì portanu à un risicu aumentatu d'abusu, cum'è l'esecuzione di blocchi via "eval" o "exec", generà un novu codice in runtime, utilizendu tecniche di codice offuscate, manipulazione di variabili di l'ambienti, accessu micca di destinazione à i schedari, accede à e risorse di a rete in i script di installazione (setup.py), usendu typesquatting (assignendu nomi simili à i nomi di biblioteche populari), identificà prughjetti obsoleti è abbandunati, specificà e-mail è siti web inesistenti, mancanza di un repositoriu publicu cù codice.
Inoltre, pudemu nutà l'identificazione da altri ricercatori di sicurezza di cinque pacchetti maliziusi in u repository PyPi, chì hà mandatu u cuntenutu di variabili di l'ambienti à un servitore esternu cù l'aspettativa di robba tokens per AWS è sistemi di integrazione cuntinuu: loglib-modules (presentatu cum'è moduli per a libreria loglib legittima), pyg-modules , pygrata è pygrata-utils (dette cum'è aghjunte à a biblioteca legittima pyg) è hkg-sol-utils.
Source: opennet.ru