Hönnuðir Packj vettvangsins, sem greinir öryggi bókasafna, hafa gefið út opið skipanalínuverkfærasett sem gerir þeim kleift að bera kennsl á áhættusamar mannvirki í pakka sem kunna að tengjast framkvæmd illgjarnrar starfsemi eða tilvist veikleika sem notaðir eru til að framkvæma árásir um verkefni sem nota umrædda pakka („birgðakeðja“). Pakkaathugun er studd á Python og JavaScript tungumálum, hýst í PyPi og NPM möppunum (þau ætla líka að bæta við stuðningi við Ruby og RubyGems í þessum mánuði). Verkfærakistukóðinn er skrifaður í Python og dreift undir AGPLv3 leyfinu.
Við greiningu á 330 þúsund pökkum með fyrirhuguðum verkfærum í PyPi geymslunni fundust 42 illgjarnir pakkar með bakdyrum og 2.4 þúsund áhættusama pakka. Meðan á skoðuninni stendur er gerð kyrrstæð kóðagreining til að bera kennsl á API eiginleika og meta tilvist þekktra veikleika sem fram koma í OSV gagnagrunninum. MalOSS pakkinn er notaður til að greina API. Pakkóðinn er greindur með tilliti til tilvistar dæmigerðra mynsturs sem almennt eru notuð í spilliforritum. Sniðmátin voru útbúin út frá rannsókn á 651 pakka með staðfestri illgjarnri virkni.
Það auðkennir einnig eiginleika og lýsigögn sem leiða til aukinnar hættu á misnotkun, svo sem að keyra blokkir í gegnum „eval“ eða „exec“, búa til nýjan kóða á meðan hann keyrir, nota dularfulla kóðatækni, meðhöndla umhverfisbreytur og aðgang án markhóps. skrár, aðgangur að netauðlindum í uppsetningarforskriftum (setup.py), með því að nota typequatting (úthluta nöfnum sem líkjast nöfnum vinsælra bókasöfna), auðkenna gamaldags og yfirgefin verkefni, tilgreina tölvupóst og vefsíður sem ekki eru til, skortur á opinberri geymslu með kóða.
Að auki getum við tekið eftir auðkenningu annarra öryggisrannsakenda á fimm skaðlegum pakka í PyPi geymslunni, sem sendi innihald umhverfisbreyta til ytri netþjóns með von um að stela táknum fyrir AWS og samfelld samþættingarkerfi: loglib-modules (kynnt sem einingar fyrir lögmætt loglib bókasafnið), pyg-modules , pygrata og pygrata-utils (sem eru viðbætur við lögmæta pyg-safnið) og hkg-sol-utils.
Heimild: opennet.ru