Kütüphanelerin güvenliğini analiz eden Packj platformunun geliştiricileri, paketlerdeki kötü amaçlı etkinliklerin uygulanmasıyla veya saldırıları gerçekleştirmek için kullanılan güvenlik açıklarının varlığıyla ilişkili olabilecek riskli yapıları belirlemelerine olanak tanıyan açık bir komut satırı araç seti yayınladı. söz konusu paketleri kullanan projelerde (“tedarik zinciri”). Paket kontrolü, PyPi ve NPM dizinlerinde barındırılan Python ve JavaScript dillerinde desteklenmektedir (ayrıca bu ay Ruby ve RubyGems için de destek eklemeyi planlıyorlar). Araç seti kodu Python'da yazılmıştır ve AGPLv3 lisansı altında dağıtılmaktadır.
PyPi deposunda önerilen araçlar kullanılarak 330 bin paketin analizi sırasında 42 arka kapılı kötü amaçlı paket ve 2.4 bin riskli paket tespit edildi. Denetim sırasında, API özelliklerini belirlemek ve OSV veritabanında belirtilen bilinen güvenlik açıklarının varlığını değerlendirmek için statik bir kod analizi gerçekleştirilir. API'yi analiz etmek için MalOSS paketi kullanılır. Paket kodu, kötü amaçlı yazılımlarda yaygın olarak kullanılan tipik kalıpların varlığı açısından analiz edilir. Şablonlar, kötü amaçlı etkinliği doğrulanan 651 paket üzerinde yapılan bir çalışmaya dayanarak hazırlandı.
Ayrıca, "eval" veya "exec" aracılığıyla blokların yürütülmesi, çalışma zamanında yeni kod oluşturulması, gizlenmiş kod tekniklerinin kullanılması, ortam değişkenlerinin manipüle edilmesi, dosyalara hedef dışı erişim gibi artan kötüye kullanım riskine yol açan öznitelikleri ve meta verileri de tanımlar. kurulum komut dosyalarında (setup.py) ağ kaynaklarına erişim, typequatting kullanma (popüler kitaplıkların adlarına benzer adlar atama), güncelliğini kaybetmiş ve terk edilmiş projeleri belirleme, var olmayan e-postaları ve web sitelerini belirleme, kod içeren genel bir havuzun bulunmaması.
Ek olarak, diğer güvenlik araştırmacıları tarafından PyPi deposunda, AWS ve sürekli entegrasyon sistemleri için belirteçlerin çalınması beklentisiyle ortam değişkenlerinin içeriğini harici bir sunucuya gönderen beş kötü amaçlı paketin tespit edildiğini belirtebiliriz: loglib-modules (şu şekilde sunulur: meşru loglib kütüphanesi için modüller), pyg-modules, pygrata ve pygrata-utils (meşru pyg kütüphanesine eklentiler olarak lanse edilir) ve hkg-sol-utils.
Kaynak: opennet.ru