Գրադարանների անվտանգությունը վերլուծող Packj պլատֆորմի մշակողները հրապարակել են բաց հրամանի տող գործիքակազմ, որը թույլ է տալիս հայտնաբերել ռիսկային կառույցներ փաթեթներում, որոնք կարող են կապված լինել չարամիտ գործունեության իրականացման կամ հարձակումներ իրականացնելու համար օգտագործվող խոցելիության հետ: խնդրո առարկա փաթեթներն օգտագործող նախագծերի վրա («մատակարարման շղթա»): Փաթեթների ստուգումն աջակցվում է Python և JavaScript լեզուներով, որոնք տեղակայված են PyPi և NPM դիրեկտորիաներում (նրանք նաև նախատեսում են այս ամիս աջակցություն ավելացնել Ruby-ի և RubyGems-ի համար): Գործիքակազմի կոդը գրված է Python-ով և տարածվում է AGPLv3 լիցենզիայի ներքո:
PyPi պահոցում առաջարկված գործիքների օգտագործմամբ 330 հազար փաթեթների վերլուծության ընթացքում հայտնաբերվել են 42 վնասակար փաթեթներ հետնադռներով և 2.4 հազար ռիսկային փաթեթներ։ Ստուգման ընթացքում կատարվում է ստատիկ կոդի վերլուծություն՝ բացահայտելու API-ի առանձնահատկությունները և գնահատելու OSV տվյալների բազայում նշված հայտնի խոցելիության առկայությունը: MalOSS փաթեթն օգտագործվում է API-ի վերլուծության համար: Փաթեթի կոդը վերլուծվում է չարամիտ ծրագրերում սովորաբար օգտագործվող բնորոշ օրինաչափությունների առկայության համար: Կաղապարները պատրաստվել են 651 փաթեթների ուսումնասիրության հիման վրա՝ հաստատված վնասակար ակտիվությամբ:
Այն նաև բացահայտում է ատրիբուտները և մետատվյալները, որոնք հանգեցնում են չարաշահման մեծ ռիսկի, ինչպիսիք են «eval» կամ «exec»-ի միջոցով բլոկների կատարումը, գործարկման ժամանակ նոր կոդ ստեղծելը, մշուշոտ կոդերի տեխնիկայի օգտագործումը, շրջակա միջավայրի փոփոխականների շահարկումը, ֆայլերի ոչ նպատակային մուտքը, մուտք գործել ցանցային ռեսուրսներ տեղադրման սկրիպտներում (setup.py), օգտագործելով typequatting (նշանակել անուններ, որոնք նման են հանրաճանաչ գրադարանների անուններին), բացահայտել հնացած և լքված նախագծերը, նշելով գոյություն չունեցող էլ.
Բացի այդ, մենք կարող ենք նշել PyPi պահոցում գտնվող հինգ վնասակար փաթեթների նույնականացումը անվտանգության այլ հետազոտողների կողմից, որոնք շրջակա միջավայրի փոփոխականների բովանդակությունն ուղարկում էին արտաքին սերվեր՝ AWS-ի և շարունակական ինտեգրման համակարգերի համար նշաններ գողանալու ակնկալիքով. loglib-modules (ներկայացված է որպես մոդուլներ օրինական loglib գրադարանի համար), pyg-modules , pygrata և pygrata-utils (առաջարկվում են որպես օրինական pyg գրադարանի հավելումներ) և hkg-sol-utils:
Source: opennet.ru