Vývojári platformy Packj, ktorá analyzuje bezpečnosť knižníc, zverejnili otvorený súbor nástrojov príkazového riadka, ktorý im umožňuje identifikovať rizikové štruktúry v balíkoch, ktoré môžu súvisieť s implementáciou zákernej činnosti alebo s prítomnosťou zraniteľností používaných na vykonávanie útokov. o projektoch využívajúcich predmetné balíky („dodávateľský reťazec“). Kontrola balíkov je podporovaná v jazykoch Python a JavaScript, ktoré sú umiestnené v adresároch PyPi a NPM (tento mesiac plánujú pridať aj podporu pre Ruby a RubyGems). Kód súpravy nástrojov je napísaný v jazyku Python a distribuovaný pod licenciou AGPLv3.
Pri analýze 330 tisíc balíkov pomocou navrhnutých nástrojov v úložisku PyPi bolo identifikovaných 42 škodlivých balíkov so zadnými vrátkami a 2.4 tisíca rizikových balíkov. Počas kontroly sa vykoná statická analýza kódu na identifikáciu funkcií API a vyhodnotenie prítomnosti známych zraniteľností zaznamenaných v databáze OSV. Balík MalOSS sa používa na analýzu API. Kód balíka sa analyzuje na prítomnosť typických vzorov bežne používaných v malvéri. Šablóny boli pripravené na základe štúdie 651 paketov s potvrdenou škodlivou aktivitou.
Tiež identifikuje atribúty a metadáta, ktoré vedú k zvýšenému riziku zneužitia, ako je napríklad vykonávanie blokov cez „eval“ alebo „exec“, generovanie nového kódu počas behu, používanie techník zahmleného kódu, manipulácia s premennými prostredia a necieľový prístup. súbory, prístup k sieťovým zdrojom v inštalačných skriptoch (setup.py), používanie typequattingu (priraďovanie názvov podobných názvom populárnych knižníc), identifikácia zastaraných a opustených projektov, špecifikovanie neexistujúcich emailov a webových stránok, chýbajúce verejné úložisko s kódom.
Okrem toho si môžeme všimnúť, že iní výskumníci v oblasti bezpečnosti identifikovali päť škodlivých balíkov v úložisku PyPi, ktoré odoslali obsah premenných prostredia na externý server s očakávaním krádeže tokenov pre AWS a systémy nepretržitej integrácie: moduly loglib (prezentované ako moduly pre legitímnu knižnicu loglib), pyg-modules , pygrata a pygrata-utils (ktoré sa ponúkajú ako doplnky k legitímnej knižnici pyg) a hkg-sol-utils.
Zdroj: opennet.ru