Vývojáři platformy Packj, která analyzuje zabezpečení knihoven, zveřejnili otevřenou sadu nástrojů příkazového řádku, která jim umožňuje identifikovat rizikové struktury v balíčcích, které mohou být spojeny s implementací škodlivé činnosti nebo přítomností zranitelností používaných k provádění útoků. na projektech využívajících příslušné balíčky („dodavatelský řetězec“). Kontrola balíčků je podporována v jazycích Python a JavaScript, hostované v adresářích PyPi a NPM (tento měsíc také plánují přidat podporu pro Ruby a RubyGems). Kód sady nástrojů je napsán v Pythonu a distribuován pod licencí AGPLv3.
Při analýze 330 tisíc balíčků pomocí navrhovaných nástrojů v úložišti PyPi bylo identifikováno 42 škodlivých balíčků se zadními vrátky a 2.4 tisíce rizikových balíčků. Během inspekce se provádí statická analýza kódu k identifikaci funkcí API a vyhodnocení přítomnosti známých zranitelností zaznamenaných v databázi OSV. Balíček MalOSS se používá k analýze API. Kód balíčku je analyzován na přítomnost typických vzorů běžně používaných v malwaru. Šablony byly připraveny na základě studie 651 paketů s potvrzenou škodlivou aktivitou.
Identifikuje také atributy a metadata, která vedou ke zvýšenému riziku zneužití, jako je spouštění bloků pomocí „eval“ nebo „exec“, generování nového kódu za běhu, používání technik zmateného kódu, manipulace s proměnnými prostředí, necílový přístup k souborům, přístup k síťovým zdrojům v instalačních skriptech (setup.py), používání typequattingu (přiřazování jmen podobných názvům populárních knihoven), identifikace zastaralých a opuštěných projektů, specifikování neexistujících e-mailů a webových stránek, absence veřejného úložiště s kódem.
Navíc si můžeme všimnout, že jiní bezpečnostní výzkumníci identifikovali pět škodlivých balíčků v úložišti PyPi, které odeslaly obsah proměnných prostředí na externí server s očekáváním krádeže tokenů pro AWS a systémy kontinuální integrace: loglib-modules (prezentované jako moduly pro legitimní knihovnu loglib), pyg-modules , pygrata a pygrata-utils (nabízené jako doplňky k legitimní knihovně pyg) a hkg-sol-utils.
Zdroj: opennet.ru