Bibliotekų saugumą analizuojančios platformos „Packj“ kūrėjai paskelbė atviros komandinės eilutės įrankių rinkinį, leidžiantį identifikuoti rizikingas paketų struktūras, kurios gali būti susijusios su kenkėjiškos veiklos įgyvendinimu arba pažeidžiamumų, naudojamų atakoms vykdyti. projektams, kuriuose naudojami atitinkami paketai („tiekimo grandinė“). Paketų tikrinimas palaikomas Python ir JavaScript kalbomis, talpinama PyPi ir NPM kataloguose (šį mėnesį jie taip pat planuoja pridėti Ruby ir RubyGems palaikymą). Įrankių rinkinio kodas parašytas Python ir platinamas pagal AGPLv3 licenciją.
Išanalizavus 330 tūkst. paketų naudojant PyPi saugykloje esančius siūlomus įrankius, buvo nustatyti 42 kenkėjiški paketai su užpakalinėmis durimis ir 2.4 tūkst. rizikingų paketų. Patikrinimo metu atliekama statinė kodo analizė, siekiant nustatyti API ypatybes ir įvertinti, ar nėra žinomų pažeidžiamumų, pastebėtų OSV duomenų bazėje. API analizei naudojamas MalOSS paketas. Paketo kodas analizuojamas, ar nėra tipiškų šablonų, dažniausiai naudojamų kenkėjiškose programose. Šablonai buvo parengti remiantis 651 paketo su patvirtinta kenkėjiška veikla tyrimu.
Ji taip pat identifikuoja atributus ir metaduomenis, dėl kurių padidėja netinkamo naudojimo rizika, pvz., blokų vykdymas naudojant „eval“ arba „exec“, naujo kodo generavimas veikiant, užmaskuoto kodo technikos naudojimas, aplinkos kintamųjų manipuliavimas ir netikslinė prieiga. failų, prieigos prie tinklo išteklių diegimo scenarijuose (setup.py), typequatting naudojimas (pavadinimų, panašių į populiarių bibliotekų pavadinimus priskyrimas), pasenusių ir apleistų projektų identifikavimas, neegzistuojančių elektroninių laiškų ir svetainių nurodymas, viešos saugyklos su kodu nebuvimas.
Be to, galime pastebėti, kad kiti saugumo tyrinėtojai PyPi saugykloje nustatė penkis kenkėjiškus paketus, kurie aplinkos kintamųjų turinį išsiuntė į išorinį serverį, tikėdamiesi pavogti AWS ir nuolatinės integracijos sistemų žetonus: loglib modulius (pateikiamus kaip moduliai, skirti teisėtai loglib bibliotekai), pyg-modules , pygrata ir pygrata-utils (paskelbiami kaip teisėtos pyg bibliotekos papildymai) ir hkg-sol-utils.
Šaltinis: opennet.ru