La programistoj de la platformo Packj, kiu analizas la sekurecon de bibliotekoj, publikigis malferman komandlinian ilaron, kiu permesas al ili identigi riskajn strukturojn en pakaĵoj, kiuj povas esti asociitaj kun la efektivigo de malica agado aŭ la ĉeesto de vundeblecoj uzataj por fari atakojn. pri projektoj uzantaj la koncernajn pakaĵojn ("provizoĉeno"). Pakkontrolado estas subtenata en Python kaj JavaScript lingvoj, gastigitaj en la dosierujoj PyPi kaj NPM (ili ankaŭ planas aldoni subtenon por Ruby kaj RubyGems ĉi-monate). La ilarkodo estas skribita en Python kaj distribuita sub la AGPLv3-licenco.
Dum la analizo de 330 mil pakaĵoj uzantaj la proponitajn ilojn en la deponejo PyPi, 42 malicaj pakaĵoj kun malantaŭaj pordoj kaj 2.4 mil riskaj pakaĵoj estis identigitaj. Dum la inspektado, senmova kodanalizo estas farita por identigi API-trajtojn kaj taksi la ĉeeston de konataj vundeblecoj notitaj en la OSV-datumbazo. La MalOSS-pakaĵo estas uzata por analizi la API. La pakkodo estas analizita por la ĉeesto de tipaj ŝablonoj ofte uzataj en malware. La ŝablonoj estis preparitaj surbaze de studo de 651 pakoj kun konfirmita malica agado.
Ĝi ankaŭ identigas atributojn kaj metadatenojn kiuj kondukas al pliigita risko de misuzo, kiel ekzekutado de blokoj per "eval" aŭ "exec", generante novan kodon dum kurado, uzante malklarigitajn kodteknikojn, manipulante mediovariablojn kaj ne-celan aliron. dosierojn, aliri retajn rimedojn en instalaj skriptoj (setup.py), uzi tajpiladon (asigni nomojn similajn al la nomoj de popularaj bibliotekoj), identigi malmodernajn kaj forlasitajn projektojn, specifi neekzistantajn retpoŝtojn kaj retejojn, mankon de publika deponejo kun kodo.
Aldone, ni povas noti la identigon de aliaj sekurecaj esploristoj de kvin malicaj pakaĵoj en la deponejo PyPi, kiuj sendis la enhavon de mediaj variabloj al ekstera servilo kun la atendo de ŝtelado de ĵetonoj por AWS kaj kontinuaj integrigaj sistemoj: loglib-moduloj (prezentitaj kiel moduloj por la legitima loglib-biblioteko), pyg-modules , pygrata kaj pygrata-utils (prezentitaj kiel aldonoj al la legitima pyg-biblioteko) kaj hkg-sol-utils.
fonto: opennet.ru