Pengembang platform Packj, sing nganalisa keamanan perpustakaan, wis nerbitake toolkit baris perintah sing mbukak sing ngidini dheweke ngenali struktur beboyo ing paket sing bisa digandhengake karo implementasine kegiatan ala utawa ana kerentanan sing digunakake kanggo nindakake serangan. ing proyek nggunakake paket kasebut ("rantai pasokan"). Priksa paket didhukung ing basa Python lan JavaScript, sing di-host ing direktori PyPi lan NPM (uga rencana nambah dhukungan kanggo Ruby lan RubyGems ing wulan iki). Kode toolkit ditulis ing Python lan disebarake ing lisensi AGPLv3.
Sajrone analisis 330 ewu paket nggunakake alat sing diusulake ing repositori PyPi, 42 paket jahat kanthi lawang mburi lan 2.4 ewu paket berisiko diidentifikasi. Sajrone inspeksi, analisis kode statis ditindakake kanggo ngenali fitur API lan ngevaluasi ananΓ© kerentanan sing dicathet ing basis data OSV. Paket MalOSS digunakake kanggo nganalisa API. Kode paket dianalisis kanggo ananΓ© pola khas sing umum digunakake ing malware. Cithakan kasebut disiapake adhedhasar panaliten babagan 651 paket kanthi kegiatan angkoro sing dikonfirmasi.
Iki uga ngenali atribut lan metadata sing nyebabake risiko penyalahgunaan, kayata nglakokake pamblokiran liwat "eval" utawa "exec," ngasilake kode anyar nalika mlaku, nggunakake teknik kode sing ora jelas, manipulasi variabel lingkungan, lan akses non-target. file, ngakses sumber daya jaringan ing skrip instalasi (setup.py), nggunakake typesquatting (menehi jeneng padha karo jeneng perpustakaan populer), ngenali proyèk outdated lan nilar, nemtokake email ora ana lan situs web, lack of repositori umum karo kode.
Kajaba iku, kita bisa nyathet identifikasi dening peneliti keamanan liyane saka limang paket jahat ing repositori PyPi, sing ngirim isi variabel lingkungan menyang server eksternal kanthi pangarep-arep nyolong token kanggo AWS lan sistem integrasi terus-terusan: loglib-modul (disajikake minangka modul kanggo perpustakaan loglib sah), pyg-modul, pygrata lan pygrata-utils (disebut-sebut minangka tambahan kanggo perpustakaan pyg sah) lan hkg-sol-utils.
Source: opennet.ru