Pengembang platform Packj, yang menganalisis keamanan perpustakaan, telah menerbitkan toolkit baris perintah terbuka yang memungkinkan mereka mengidentifikasi struktur berisiko dalam paket yang mungkin terkait dengan penerapan aktivitas jahat atau adanya kerentanan yang digunakan untuk melakukan serangan. pada proyek yang menggunakan paket yang dimaksud (“rantai pasokan”). Pemeriksaan paket didukung dalam bahasa Python dan JavaScript, dihosting di direktori PyPi dan NPM (mereka juga berencana menambahkan dukungan untuk Ruby dan RubyGems bulan ini). Kode toolkit ditulis dengan Python dan didistribusikan di bawah lisensi AGPLv3.
Selama analisis 330 ribu paket menggunakan alat yang diusulkan di repositori PyPi, 42 paket berbahaya dengan pintu belakang dan 2.4 ribu paket berisiko diidentifikasi. Selama pemeriksaan, analisis kode statis dilakukan untuk mengidentifikasi fitur API dan mengevaluasi keberadaan kerentanan yang diketahui yang tercatat dalam database OSV. Paket MalOSS digunakan untuk menganalisis API. Kode paket dianalisis untuk mengetahui keberadaan pola khas yang biasa digunakan dalam malware. Templat tersebut disiapkan berdasarkan studi terhadap 651 paket dengan aktivitas berbahaya yang dikonfirmasi.
Hal ini juga mengidentifikasi atribut dan metadata yang mengarah pada peningkatan risiko penyalahgunaan, seperti mengeksekusi blok melalui “eval” atau “exec”, menghasilkan kode baru saat dijalankan, menggunakan teknik kode yang dikaburkan, memanipulasi variabel lingkungan, dan akses non-target. file, mengakses sumber daya jaringan dalam skrip instalasi (setup.py), menggunakan typequatting (menetapkan nama yang mirip dengan nama perpustakaan populer), mengidentifikasi proyek yang ketinggalan jaman dan ditinggalkan, menentukan email dan situs web yang tidak ada, kurangnya repositori publik dengan kode.
Selain itu, kita dapat mencatat identifikasi oleh peneliti keamanan lain terhadap lima paket berbahaya di repositori PyPi, yang mengirimkan konten variabel lingkungan ke server eksternal dengan harapan mencuri token untuk AWS dan sistem integrasi berkelanjutan: loglib-modules (disajikan sebagai modul untuk perpustakaan loglib yang sah), pyg-modules , pygrata dan pygrata-utils (disebut-sebut sebagai tambahan pada perpustakaan pyg yang sah) dan hkg-sol-utils.
Sumber: opennet.ru