Ang mga developer ng Packj platform, na nagsusuri sa seguridad ng mga aklatan, ay naglathala ng isang bukas na command line toolkit na nagbibigay-daan sa kanila na tukuyin ang mga peligrosong istruktura sa mga pakete na maaaring nauugnay sa pagpapatupad ng malisyosong aktibidad o pagkakaroon ng mga kahinaan na ginagamit upang magsagawa ng mga pag-atake sa mga proyektong gumagamit ng mga package na pinag-uusapan (“supply chain”). Sinusuportahan ang pagsuri ng package sa mga wikang Python at JavaScript, na naka-host sa mga direktoryo ng PyPi at NPM (nagplano rin silang magdagdag ng suporta para sa Ruby at RubyGems ngayong buwan). Ang toolkit code ay nakasulat sa Python at ipinamahagi sa ilalim ng lisensya ng AGPLv3.
Sa panahon ng pagsusuri ng 330 libong pakete gamit ang mga iminungkahing tool sa PyPi repository, 42 malisyosong pakete na may backdoors at 2.4 libong peligrosong pakete ang natukoy. Sa panahon ng inspeksyon, isinasagawa ang isang static na pagsusuri ng code upang matukoy ang mga feature ng API at suriin ang pagkakaroon ng mga kilalang kahinaan na nabanggit sa database ng OSV. Ang MalOSS package ay ginagamit upang pag-aralan ang API. Sinusuri ang code ng package para sa pagkakaroon ng mga tipikal na pattern na karaniwang ginagamit sa malware. Ang mga template ay inihanda batay sa isang pag-aaral ng 651 packet na may kumpirmadong malisyosong aktibidad.
Tinutukoy din nito ang mga katangian at metadata na humahantong sa mas mataas na panganib ng maling paggamit, tulad ng pagsasagawa ng mga bloke sa pamamagitan ng "eval" o "exec," pagbuo ng bagong code habang tumatakbo, gamit ang mga diskarte sa na-obfuscate na code, pagmamanipula ng mga variable ng kapaligiran, at hindi target na pag-access. mga file, pag-access sa mga mapagkukunan ng network sa mga script ng pag-install (setup.py), gamit ang typesquatting (pagtatalaga ng mga pangalan na katulad ng mga pangalan ng mga sikat na aklatan), pagtukoy ng mga luma at inabandonang proyekto, pagtukoy ng mga hindi umiiral na email at website, kawalan ng pampublikong imbakan na may code.
Bukod pa rito, mapapansin natin ang pagkakakilanlan ng iba pang mga mananaliksik sa seguridad ng limang malisyosong pakete sa imbakan ng PyPi, na nagpadala ng mga nilalaman ng mga variable ng kapaligiran sa isang panlabas na server na may inaasahang pagnanakaw ng mga token para sa AWS at tuluy-tuloy na mga sistema ng pagsasama: loglib-modules (ipinapakita bilang modules para sa lehitimong loglib library), pyg-modules , pygrata at pygrata-utils (tinatawag na mga karagdagan sa lehitimong pyg library) at hkg-sol-utils.
Pinagmulan: opennet.ru