Packj پلیٹ فارم کے ڈویلپرز، جو لائبریریوں کی سیکیورٹی کا تجزیہ کرتا ہے، نے ایک کھلی کمانڈ لائن ٹول کٹ شائع کی ہے جس کی مدد سے وہ پیکجوں میں خطرناک ڈھانچے کی نشاندہی کر سکتے ہیں جو نقصان دہ سرگرمی کے نفاذ یا حملوں کو انجام دینے کے لیے استعمال ہونے والی کمزوریوں کی موجودگی سے منسلک ہو سکتے ہیں۔ زیر بحث پیکیجز استعمال کرنے والے پروجیکٹس پر ("سپلائی چین")۔ پیکج کی جانچ Python اور JavaScript زبانوں میں تعاون یافتہ ہے، جو PyPi اور NPM ڈائریکٹریز میں میزبانی کی گئی ہے (وہ اس ماہ Ruby اور RubyGems کے لیے تعاون شامل کرنے کا ارادہ بھی رکھتے ہیں)۔ ٹول کٹ کوڈ Python میں لکھا گیا ہے اور AGPLv3 لائسنس کے تحت تقسیم کیا گیا ہے۔
PyPi ریپوزٹری میں مجوزہ ٹولز کا استعمال کرتے ہوئے 330 ہزار پیکجوں کے تجزیے کے دوران بیک ڈور والے 42 نقصان دہ پیکجز اور 2.4 ہزار پرخطر پیکجز کی نشاندہی کی گئی۔ معائنہ کے دوران، ایک جامد کوڈ کا تجزیہ کیا جاتا ہے تاکہ API کی خصوصیات کی شناخت کی جا سکے اور OSV ڈیٹا بیس میں درج معروف کمزوریوں کی موجودگی کا اندازہ لگایا جا سکے۔ MalOSS پیکیج API کا تجزیہ کرنے کے لیے استعمال ہوتا ہے۔ پیکیج کوڈ کا تجزیہ عام طور پر میلویئر میں استعمال ہونے والے مخصوص نمونوں کی موجودگی کے لیے کیا جاتا ہے۔ ٹیمپلیٹس 651 پیکٹوں کے مطالعہ کی بنیاد پر تیار کیے گئے تھے جن کی تصدیق شدہ بدنیتی پر مبنی سرگرمی تھی۔
یہ ان اوصاف اور میٹا ڈیٹا کی بھی نشاندہی کرتا ہے جو غلط استعمال کے بڑھتے ہوئے خطرے کا باعث بنتے ہیں، جیسے کہ "eval" یا "exec" کے ذریعے بلاکس کو چلانا، رن ٹائم پر نیا کوڈ بنانا، مبہم کوڈ کی تکنیکوں کا استعمال، ماحولیاتی متغیرات میں ہیرا پھیری، فائلوں تک غیر ہدف تک رسائی، انسٹالیشن اسکرپٹس (setup.py) میں نیٹ ورک کے وسائل تک رسائی حاصل کرنا، typequatting استعمال کرنا (مقبول لائبریریوں کے ناموں سے ملتے جلتے نام تفویض کرنا)، فرسودہ اور ترک شدہ پروجیکٹس کی نشاندہی کرنا، غیر موجود ای میلز اور ویب سائٹس کی وضاحت کرنا، کوڈ کے ساتھ عوامی ذخیرہ کی کمی۔
مزید برآں، ہم PyPi ریپوزٹری میں پانچ بدنیتی پر مبنی پیکجوں کی دیگر سیکورٹی محققین کی طرف سے شناخت نوٹ کر سکتے ہیں، جس نے AWS اور مسلسل انضمام کے نظام کے لیے ٹوکن چوری کرنے کی توقع کے ساتھ ماحولیاتی متغیرات کے مواد کو ایک بیرونی سرور پر بھیجا تھا: loglib-modules (بطور پیش کیا گیا ہے۔ جائز لاگلیب لائبریری کے ماڈیولز)، pyg-modules، pygrata اور pygrata-utils (جائز pyg لائبریری میں اضافے کے طور پر کہا جاتا ہے) اور hkg-sol-utils۔
ماخذ: opennet.ru