Razvijalci platforme Packj, ki analizira varnost knjižnic, so objavili komplet orodij odprte ukazne vrstice, ki jim omogoča prepoznavanje tveganih struktur v paketih, ki so lahko povezani z izvajanjem zlonamerne dejavnosti ali prisotnostjo ranljivosti, ki se uporabljajo za izvajanje napadov. na projektih, ki uporabljajo zadevne pakete (»oskrbovalna veriga«). Preverjanje paketov je podprto v jezikih Python in JavaScript, ki gostujejo v imenikih PyPi in NPM (ta mesec nameravajo dodati tudi podporo za Ruby in RubyGems). Koda kompleta orodij je napisana v Pythonu in se distribuira pod licenco AGPLv3.
Med analizo 330 tisoč paketov s predlaganimi orodji v repozitoriju PyPi je bilo ugotovljenih 42 zlonamernih paketov z zadnjimi vrati in 2.4 tisoč tveganih paketov. Med inšpekcijskim pregledom se izvede statična analiza kode, da se identificirajo funkcije API-ja in oceni prisotnost znanih ranljivosti, zabeleženih v bazi podatkov OSV. Za analizo API-ja se uporablja paket MalOSS. Koda paketa je analizirana glede prisotnosti tipičnih vzorcev, ki se običajno uporabljajo v zlonamerni programski opremi. Predloge so bile pripravljene na podlagi študije 651 paketov s potrjeno zlonamerno aktivnostjo.
Prav tako identificira atribute in metapodatke, ki vodijo do povečanega tveganja zlorabe, kot je izvajanje blokov prek »eval« ali »exec«, generiranje nove kode med izvajanjem, uporaba tehnik zakrite kode, manipuliranje s spremenljivkami okolja, neciljni dostop do datotek, dostop do omrežnih virov v namestitvenih skriptih (setup.py), uporaba typequattinga (dodeljevanje imen, podobnih imenom priljubljenih knjižnic), prepoznavanje zastarelih in opuščenih projektov, določanje neobstoječih e-poštnih sporočil in spletnih mest, pomanjkanje javnega repozitorija s kodo.
Poleg tega lahko opazimo, da so drugi varnostni raziskovalci identificirali pet zlonamernih paketov v repozitoriju PyPi, ki so pošiljali vsebino spremenljivk okolja zunanjemu strežniku s pričakovanjem kraje žetonov za AWS in sisteme neprekinjene integracije: moduli loglib (predstavljeni kot moduli za legitimno knjižnico loglib), pyg-modules, pygrata in pygrata-utils (oglaševani kot dodatki k legitimni knjižnici pyg) in hkg-sol-utils.
Vir: opennet.ru