ライブラリのセキュリティを分析する Packj プラットフォームの開発者は、悪意のあるアクティビティの実装や攻撃の実行に使用される脆弱性の存在に関連する可能性のあるパッケージ内の危険な構造を特定できるオープン コマンド ライン ツールキットを公開しました。問題のパッケージを使用するプロジェクト (「サプライ チェーン」)。 パッケージのチェックは、PyPi および NPM ディレクトリでホストされる Python および JavaScript 言語でサポートされています (今月、Ruby および RubyGems のサポートも追加する予定です)。 ツールキットのコードは Python で書かれており、AGPLv3 ライセンスに基づいて配布されます。
PyPi リポジトリ内の提案されたツールを使用して 330 万個のパッケージを分析したところ、バックドアを備えた 42 個の悪意のあるパッケージと 2.4 個の危険なパッケージが特定されました。 検査中に、API 機能を特定し、OSV データベースに記録されている既知の脆弱性の存在を評価するために静的コード分析が実行されます。 MalOSS パッケージは API の分析に使用されます。 パッケージ コードは、マルウェアで一般的に使用される典型的なパターンの存在について分析されます。 テンプレートは、悪意のあるアクティビティが確認された 651 パケットの調査に基づいて作成されました。
また、「eval」または「exec」によるブロックの実行、実行中の新しいコードの生成、難読化されたコード技術の使用、環境変数の操作、非ターゲット アクセスなど、悪用のリスク増大につながる属性とメタデータも特定します。ファイル、インストール スクリプト (setup.py) でのネットワーク リソースへのアクセス、タイプスクワッティング (一般的なライブラリの名前に似た名前の割り当て) の使用、古くなったプロジェクトや放棄されたプロジェクトの特定、存在しない電子メールや Web サイトの指定、コードを含むパブリック リポジトリの欠如。
さらに、他のセキュリティ研究者が PyPi リポジトリ内の XNUMX つの悪意のあるパッケージを特定したことにも注目できます。このパッケージは、AWS および継続的インテグレーション システムのトークンを盗むことを期待して環境変数の内容を外部サーバーに送信しました: loglib-modules (として提示)正規の loglib ライブラリのモジュール)、 pyg-modules 、 pygrata および pygrata-utils (正規の pyg ライブラリへの追加として宣伝されています)、および hkg-sol-utils です。
出所: オープンネット.ru