Razvojni programeri platforme Packj, koja analizira sigurnost knjižnica, objavili su alat otvorene naredbene linije koji im omogućuje prepoznavanje rizičnih struktura u paketima koje mogu biti povezane s implementacijom zlonamjernih aktivnosti ili prisutnošću ranjivosti koje se koriste za izvođenje napada na projektima koji koriste dotične pakete („lanac opskrbe”). Provjera paketa podržana je u jezicima Python i JavaScript, koji se nalaze u direktorijima PyPi i NPM (također planiraju dodati podršku za Ruby i RubyGems ovaj mjesec). Kod skupa alata napisan je u Pythonu i distribuiran pod licencom AGPLv3.
Tijekom analize 330 tisuća paketa pomoću predloženih alata u repozitoriju PyPi identificirana su 42 zlonamjerna paketa sa stražnjim vratima i 2.4 tisuće rizičnih paketa. Tijekom inspekcije provodi se statička analiza koda kako bi se identificirale značajke API-ja i procijenila prisutnost poznatih ranjivosti zabilježenih u OSV bazi podataka. MalOSS paket se koristi za analizu API-ja. Kod paketa se analizira na prisutnost tipičnih obrazaca koji se obično koriste u zlonamjernom softveru. Predlošci su pripremljeni na temelju istraživanja 651 paketa s potvrđenom zlonamjernom aktivnošću.
Također identificira atribute i metapodatke koji dovode do povećanog rizika zlouporabe, kao što je izvršavanje blokova putem "eval" ili "exec", generiranje novog koda tijekom izvođenja, korištenje tehnika maskiranog koda, manipuliranje varijablama okruženja, neciljani pristup datotekama, pristup mrežnim resursima u instalacijskim skriptama (setup.py), korištenje typequattinga (dodjeljivanje naziva sličnih nazivima popularnih knjižnica), identificiranje zastarjelih i napuštenih projekata, navođenje nepostojećih e-mailova i web stranica, nedostatak javnog repozitorija s kodom.
Dodatno, možemo uočiti identifikaciju pet zlonamjernih paketa u repozitoriju PyPi od strane drugih sigurnosnih istraživača, koji su poslali sadržaj varijabli okruženja vanjskom poslužitelju s očekivanjem krađe tokena za AWS i sustave kontinuirane integracije: loglib-moduli (predstavljeni kao moduli za legitimnu biblioteku loglib), pyg-modules, pygrata i pygrata-utils (reklamirani kao dodaci legitimnoj biblioteci pyg) i hkg-sol-utils.
Izvor: opennet.ru