Utvecklarna av Packj-plattformen, som analyserar säkerheten för bibliotek, har publicerat en öppen kommandoradsverktygssats som låter dem identifiera riskabla strukturer i paket som kan vara associerade med implementeringen av skadlig aktivitet eller närvaron av sårbarheter som används för att utföra attacker på projekt som använder de aktuella paketen ("supply chain"). Paketkontroll stöds i Python- och JavaScript-språken, som finns i PyPi- och NPM-katalogerna (de planerar också att lägga till stöd för Ruby och RubyGems denna månad). Verktygssatskoden är skriven i Python och distribueras under AGPLv3-licensen.
Under analysen av 330 tusen paket med de föreslagna verktygen i PyPi-förvaret identifierades 42 skadliga paket med bakdörrar och 2.4 tusen riskfyllda paket. Under inspektionen utförs en statisk kodanalys för att identifiera API-funktioner och utvärdera förekomsten av kända sårbarheter noterade i OSV-databasen. MalOSS-paketet används för att analysera API. Paketkoden analyseras med avseende på förekomsten av typiska mönster som ofta används i skadlig programvara. Mallarna förbereddes baserat på en studie av 651 paket med bekräftad skadlig aktivitet.
Den identifierar också attribut och metadata som leder till en ökad risk för missbruk, som exekvering av block via "eval" eller "exec", generering av ny kod under körning, användning av obfuskerad kodteknik, manipulering av miljövariabler, icke-målåtkomst till filer, komma åt nätverksresurser i installationsskript (setup.py), använda typesquatting (tilldela namn som liknar namnen på populära bibliotek), identifiera föråldrade och övergivna projekt, specificera obefintliga e-postmeddelanden och webbplatser, avsaknad av ett offentligt arkiv med kod.
Dessutom kan vi notera andra säkerhetsforskares identifiering av fem skadliga paket i PyPi-förvaret, som skickade innehållet i miljövariabler till en extern server med förväntan att stjäla tokens för AWS och kontinuerliga integrationssystem: loglib-moduler (presenteras som moduler för det legitima loglib-biblioteket), pyg-modules , pygrata och pygrata-utils (som presenteras som tillägg till det legitima pyg-biblioteket) och hkg-sol-utils.
Källa: opennet.ru