מפתחי פלטפורמת Packj, המנתחת את אבטחת הספריות, פרסמו ערכת כלים של שורת פקודה פתוחה המאפשרת להם לזהות מבנים מסוכנים בחבילות שעלולים להיות קשורים ליישום פעילות זדונית או נוכחות של נקודות תורפה המשמשות לביצוע התקפות. על פרויקטים המשתמשים בחבילות המדוברות ("שרשרת אספקה"). בדיקת חבילות נתמכת בשפות Python ו-JavaScript, המתארחות בספריות PyPi ו-NPM (הם גם מתכננים להוסיף תמיכה עבור Ruby ו-RubyGems החודש). קוד ערכת הכלים כתוב ב-Python ומופץ תחת רישיון AGPLv3.
במהלך הניתוח של 330 אלף חבילות באמצעות הכלים המוצעים במאגר PyPi, זוהו 42 חבילות זדוניות עם דלתות אחוריות ו-2.4 אלף חבילות מסוכנות. במהלך הבדיקה, מתבצע ניתוח קוד סטטי כדי לזהות תכונות API ולהעריך את נוכחותן של פגיעויות ידועות שצוינו במסד הנתונים של OSV. חבילת MalOSS משמשת לניתוח ה-API. קוד החבילה מנותח עבור נוכחותם של דפוסים טיפוסיים הנפוצים בשימוש בתוכנות זדוניות. התבניות הוכנו על סמך מחקר של 651 מנות עם פעילות זדונית מאושרת.
זה גם מזהה תכונות ומטא נתונים המובילים לסיכון מוגבר לשימוש לרעה, כגון ביצוע בלוקים באמצעות "eval" או "exec", יצירת קוד חדש בזמן ריצה, שימוש בטכניקות קוד מעורפל, מניפולציה של משתני סביבה, גישה לא-מטרה לקבצים, גישה למשאבי רשת בסקריפטים של התקנה (setup.py), שימוש ב-typesquatting (הקצאת שמות דומים לשמות של ספריות פופולריות), זיהוי פרויקטים מיושנים ונטושים, ציון מיילים ואתרי אינטרנט שאינם קיימים, היעדר מאגר ציבורי עם קוד.
בנוסף, אנו יכולים לציין את הזיהוי על ידי חוקרי אבטחה אחרים של חמש חבילות זדוניות במאגר PyPi, ששלחו את התוכן של משתני הסביבה לשרת חיצוני בציפייה לגניבת אסימונים עבור AWS ומערכות אינטגרציה רציפה: loglib-modules (מוצגים כ- מודולים לספריית loglib הלגיטימית), pyg-modules , pygrata ו-pygrata-utils (המוצגים כתוספות לספריית pyg הלגיטימית) ו-hkg-sol-utils.
מקור: OpenNet.ru