D'Entwéckler vun der Packj Plattform, déi d'Sécherheet vun de Bibliothéiken analyséiert, hunn en oppene Kommandozeil-Toolkit publizéiert, deen hinnen erlaabt riskant Strukturen a Paketen z'identifizéieren, déi mat der Ëmsetzung vu béiswëlleger Aktivitéit oder der Präsenz vu Schwachstelle benotzt kënne fir Attacken auszeféieren. op Projete mat de betraffene Packagen ("Supply Chain"). Package Iwwerpréiwung gëtt an Python a JavaScript Sproochen ënnerstëtzt, an de PyPi an NPM Verzeichnisser gehost (si plangen och Ënnerstëtzung fir Ruby a RubyGems dëse Mount ze addéieren). Den Toolkit Code ass am Python geschriwwen an ënner der AGPLv3 Lizenz verdeelt.
Wärend der Analyse vun 330 Tausend Packagen déi proposéiert Tools am PyPi Repository benotzen, goufen 42 béiswëlleg Packagen mat Backdoors an 2.4 Tausend riskant Packagen identifizéiert. Wärend der Inspektioun gëtt eng statesch Code Analyse gemaach fir API Features z'identifizéieren an d'Präsenz vu bekannte Schwachstelle ze evaluéieren, déi an der OSV Datebank notéiert ginn. De MalOSS Package gëtt benotzt fir d'API ze analyséieren. De Package Code gëtt fir d'Präsenz vun typesche Mustere analyséiert, déi allgemeng a Malware benotzt ginn. D'Schabloune goufen op Basis vun enger Studie vu 651 Pakete mat bestätegt béiswëlleg Aktivitéit virbereet.
Et identifizéiert och Attributer a Metadaten, déi zu engem erhéicht Risiko vu Mëssbrauch féieren, sou wéi d'Ausféierung vun Blocken iwwer "eval" oder "exec", neie Code bei der Runtime generéieren, obfuscéiert Code Techniken benotzen, Ëmfeldvariablen manipuléieren, net-Zilzougang zu Dateien, Zougang zu Ressourcen Ressourcen an Installatiounsskripter (setup.py), benotzt Typequatting (Zeechnen Nimm ähnlech wéi d'Nimm vu populäre Bibliothéiken), Identifikatioun vun alen a verloosse Projeten, spezifizéieren net existent E-Mailen a Websäiten, Mangel un engem ëffentleche Repository mat Code.
Zousätzlech kënne mir d'Identifikatioun vun anere Sécherheetsfuerscher vu fënnef béiswëlleg Packagen am PyPi Repository notéieren, déi den Inhalt vun den Ëmfeldvariablen op en externen Server geschéckt hunn mat der Erwaardung fir Tokens fir AWS a kontinuéierlech Integratiounssystemer ze klauen: loglib-Module (presentéiert als Moduler fir déi legitim Loglib-Bibliothéik), pyg-Module , pygrata a pygrata-utils (als Ergänzunge fir déi legitim pyg-Bibliothéik ausgezeechent) an hkg-sol-utils.
Source: opennet.ru