లైబ్రరీల భద్రతను విశ్లేషించే Packj ప్లాట్ఫారమ్ యొక్క డెవలపర్లు ఒక ఓపెన్ కమాండ్ లైన్ టూల్కిట్ను ప్రచురించారు, ఇది హానికరమైన కార్యకలాపాల అమలుతో లేదా దాడులను నిర్వహించడానికి ఉపయోగించే దుర్బలత్వాల ఉనికితో అనుబంధించబడిన ప్యాకేజీలలో ప్రమాదకర నిర్మాణాలను గుర్తించడానికి వారిని అనుమతిస్తుంది. సందేహాస్పద ప్యాకేజీలను ఉపయోగించే ప్రాజెక్ట్లపై ("సరఫరా గొలుసు"). PyPi మరియు NPM డైరెక్టరీలలో హోస్ట్ చేయబడిన పైథాన్ మరియు జావాస్క్రిప్ట్ భాషలలో ప్యాకేజీ తనిఖీకి మద్దతు ఉంది (వారు ఈ నెలలో రూబీ మరియు రూబీజెమ్స్కు మద్దతును జోడించాలని కూడా ప్లాన్ చేస్తున్నారు). టూల్కిట్ కోడ్ పైథాన్లో వ్రాయబడింది మరియు AGPLv3 లైసెన్స్ క్రింద పంపిణీ చేయబడింది.
PyPi రిపోజిటరీలో ప్రతిపాదిత సాధనాలను ఉపయోగించి 330 వేల ప్యాకేజీల విశ్లేషణ సమయంలో, బ్యాక్డోర్లతో కూడిన 42 హానికరమైన ప్యాకేజీలు మరియు 2.4 వేల ప్రమాదకర ప్యాకేజీలు గుర్తించబడ్డాయి. తనిఖీ సమయంలో, API లక్షణాలను గుర్తించడానికి మరియు OSV డేటాబేస్లో గుర్తించబడిన తెలిసిన దుర్బలత్వాల ఉనికిని అంచనా వేయడానికి స్టాటిక్ కోడ్ విశ్లేషణ నిర్వహించబడుతుంది. APIని విశ్లేషించడానికి MalOSS ప్యాకేజీ ఉపయోగించబడుతుంది. మాల్వేర్లో సాధారణంగా ఉపయోగించే సాధారణ నమూనాల ఉనికి కోసం ప్యాకేజీ కోడ్ విశ్లేషించబడుతుంది. ధృవీకరించబడిన హానికరమైన కార్యాచరణతో 651 ప్యాకెట్ల అధ్యయనం ఆధారంగా టెంప్లేట్లు తయారు చేయబడ్డాయి.
ఇది "eval" లేదా "exec" ద్వారా బ్లాక్లను అమలు చేయడం, రన్టైమ్లో కొత్త కోడ్ను రూపొందించడం, అస్పష్టమైన కోడ్ టెక్నిక్లను ఉపయోగించడం, ఎన్విరాన్మెంట్ వేరియబుల్స్ను మార్చడం, ఫైల్లకు లక్ష్యం కాని యాక్సెస్ వంటి దుర్వినియోగ ప్రమాదానికి దారితీసే లక్షణాలను మరియు మెటాడేటాను కూడా గుర్తిస్తుంది. ఇన్స్టాలేషన్ స్క్రిప్ట్లలో నెట్వర్క్ వనరులను యాక్సెస్ చేయడం (setup.py), టైప్క్వాటింగ్ను ఉపయోగించడం (ప్రసిద్ధ లైబ్రరీల పేర్లతో సమానమైన పేర్లను కేటాయించడం), పాత మరియు రద్దు చేయబడిన ప్రాజెక్ట్లను గుర్తించడం, ఉనికిలో లేని ఇమెయిల్లు మరియు వెబ్సైట్లను పేర్కొనడం, కోడ్తో పబ్లిక్ రిపోజిటరీ లేకపోవడం.
అదనంగా, మేము PyPi రిపోజిటరీలోని ఐదు హానికరమైన ప్యాకేజీల యొక్క ఇతర భద్రతా పరిశోధకులచే గుర్తించబడిన గుర్తింపును గమనించవచ్చు, ఇది AWS మరియు నిరంతర ఇంటిగ్రేషన్ సిస్టమ్ల కోసం టోకెన్లను దొంగిలించే అంచనాతో పర్యావరణ వేరియబుల్స్ యొక్క కంటెంట్లను బాహ్య సర్వర్కు పంపింది: loglib-modules (ఇలా ప్రదర్శించబడింది చట్టబద్ధమైన loglib లైబ్రరీ కోసం మాడ్యూల్స్), pyg-modules , pygrata మరియు pygrata-utils (చట్టబద్ధమైన pyg లైబ్రరీకి జోడింపులుగా ప్రచారం చేయబడింది) మరియు hkg-sol-utils.
మూలం: opennet.ru