De ûntwikkelders fan it Packj-platfoarm, dat de feiligens fan biblioteken analysearret, hawwe in iepen kommando-rigel-toolkit publisearre wêrmei se risikofolle struktueren kinne identifisearje yn pakketten dy't kinne wurde assosjeare mei de ymplemintaasje fan kweade aktiviteit of de oanwêzigens fan kwetsberens brûkt om oanfallen út te fieren op projekten dy't de oanbelangjende pakketten brûke ("supply chain"). Pakketkontrôle wurdt stipe yn Python- en JavaScript-talen, hosted yn 'e PyPi- en NPM-mappen (se binne ek fan plan dizze moanne stipe ta te foegjen foar Ruby en RubyGems). De toolkit-koade is skreaun yn Python en ferspraat ûnder de AGPLv3-lisinsje.
Tidens de analyze fan 330 tûzen pakketten mei de foarstelde ark yn it PyPi repository, waarden 42 kweade pakketten mei efterdoarren en 2.4 tûzen risikofolle pakketten identifisearre. Tidens de ynspeksje wurdt in statyske koade-analyze útfierd om API-funksjes te identifisearjen en de oanwêzigens fan bekende kwetsberens te evaluearjen yn 'e OSV-database. It MalOSS-pakket wurdt brûkt om de API te analysearjen. De pakketkoade wurdt analysearre foar de oanwêzigens fan typyske patroanen dy't gewoanlik brûkt wurde yn malware. De sjabloanen waarden taret basearre op in stúdzje fan 651 pakketten mei befêstige kweade aktiviteit.
It identifisearret ek attributen en metadata dy't liede ta in ferhege risiko fan misbrûk, lykas it útfieren fan blokken fia "eval" of "exec," it generearjen fan nije koade by it rinnen, it brûken fan obfuscated koadetechniken, it manipulearjen fan omjouwingsfariabelen, en net-doel tagong. bestannen, tagong ta netwurkboarnen yn ynstallaasjeskripts (setup.py), gebrûk fan typesquatting (nammen tawize oan de nammen fan populêre bibleteken), identifisearjen fan ferâldere en ferlitten projekten, spesifisearje net-besteand e-post en websiden, gebrek oan in iepenbier repository mei koade.
Derneist kinne wy de identifikaasje troch oare befeiligingsûndersikers fan fiif kweade pakketten yn 'e PyPi-repository notearje, dy't de ynhâld fan omjouwingsfariabelen nei in eksterne server stjoerde mei de ferwachting fan it stellen fan tokens foar AWS en trochgeande yntegraasjesystemen: loglib-modules (presintearre as modules foar de legitime loglib-bibleteek), pyg-modules, pygrata en pygrata-utils (oantsjutten as tafoegings oan de legitime pyg-bibleteek) en hkg-sol-utils.
Boarne: opennet.ru