Кітапханалардың қауіпсіздігін талдайтын Packj платформасының әзірлеушілері зиянды әрекетті жүзеге асырумен немесе шабуылдарды жүзеге асыру үшін пайдаланылатын осалдықтардың болуымен байланысты болуы мүмкін пакеттердегі қауіпті құрылымдарды анықтауға мүмкіндік беретін ашық пәрмен жолы құралдар жинағын жариялады. қарастырылып отырған пакеттерді пайдаланатын жобалар бойынша («жеткізу тізбегі»). Пакетті тексеруге PyPi және NPM каталогтарында орналастырылған Python және JavaScript тілдерінде қолдау көрсетіледі (олар сонымен қатар осы айда Ruby және RubyGems үшін қолдау қосуды жоспарлап отыр). Құралдар жинағы коды Python тілінде жазылған және AGPLv3 лицензиясы бойынша таратылады.
PyPi репозиторийінде ұсынылған құралдарды пайдалана отырып, 330 мың пакетті талдау барысында бэкдорлары бар 42 зиянды пакет және 2.4 мың қауіпті пакет анықталды. Тексеру барысында API мүмкіндіктерін анықтау және OSV дерекқорында белгіленген белгілі осалдықтардың болуын бағалау үшін статикалық код талдауы орындалады. MaLOSS бумасы API талдау үшін пайдаланылады. Пакет коды зиянды бағдарламаларда жиі қолданылатын типтік үлгілердің болуы үшін талданады. Үлгілер зиянды әрекеті расталған 651 пакетті зерттеу негізінде дайындалды.
Ол сондай-ақ қате пайдалану қаупінің жоғарылауына әкелетін атрибуттар мен метадеректерді анықтайды, мысалы, блоктарды «eval» немесе «exec» арқылы орындау, іске қосу кезінде жаңа кодты жасау, түсініксіз код әдістерін пайдалану, ортаның айнымалы мәндерін басқару және мақсатты емес қол жеткізу. файлдар, орнату сценарийлеріндегі желі ресурстарына қол жеткізу (setup.py), типтерді пайдалану (танымал кітапханалардың атауларына ұқсас атауларды тағайындау), ескірген және тастап кеткен жобаларды анықтау, жоқ электрондық пошталар мен веб-сайттарды көрсету, коды бар жалпыға ортақ репозиторийдің болмауы.
Сонымен қатар, біз басқа қауіпсіздік зерттеушілерінің PyPi репозиторийінде AWS және үздіксіз интеграциялық жүйелерге арналған таңбалауыштарды ұрлауды күтумен сыртқы серверге қоршаған орта айнымалыларының мазмұнын жіберген бес зиянды пакеттерді анықтауын атап өтуге болады: loglib-модульдер (көрсетілген ретінде ұсынылған). заңды loglib кітапханасының модульдері), pyg-модульдері, pygrata және pygrata-utils (заңды pyg кітапханасына толықтырулар ретінде ұсынылған) және hkg-sol-utils.
Ақпарат көзі: opennet.ru