Kutubxonalar xavfsizligini tahlil qiluvchi Packj platformasi ishlab chiquvchilari zararli faoliyatni amalga oshirish yoki hujumlarni amalga oshirishda foydalaniladigan zaifliklar mavjudligi bilan bog‘liq bo‘lishi mumkin bo‘lgan paketlardagi xavfli tuzilmalarni aniqlash imkonini beruvchi ochiq buyruq qatori asboblar to‘plamini nashr etdilar. ko'rib chiqilayotgan paketlardan foydalangan holda loyihalar bo'yicha ("ta'minot zanjiri"). Paketni tekshirish PyPi va NPM kataloglarida joylashgan Python va JavaScript tillarida qo'llab-quvvatlanadi (ular shu oyda Ruby va RubyGems uchun qo'llab-quvvatlashni qo'shishni ham rejalashtirmoqda). Asboblar to'plami kodi Python-da yozilgan va AGPLv3 litsenziyasi ostida tarqatiladi.
PyPi omborida tavsiya etilgan vositalardan foydalangan holda 330 ming paketni tahlil qilish jarayonida orqa eshikli 42 ta zararli paket va 2.4 ming ta xavfli paket aniqlandi. Tekshiruv davomida API xususiyatlarini aniqlash va OSV ma'lumotlar bazasida qayd etilgan ma'lum zaifliklar mavjudligini baholash uchun statik kod tahlili o'tkaziladi. MaLOSS paketi APIni tahlil qilish uchun ishlatiladi. Paket kodi odatda zararli dasturlarda ishlatiladigan odatiy naqshlar mavjudligi uchun tahlil qilinadi. Shablonlar zararli faoliyati tasdiqlangan 651 paketni o'rganish asosida tayyorlangan.
Shuningdek, u noto'g'ri foydalanish xavfi ortishiga olib keladigan atributlar va metama'lumotlarni aniqlaydi, masalan, "eval" yoki "exec" orqali bloklarni bajarish, ish vaqtida yangi kod yaratish, tushunarsiz kod usullaridan foydalanish, atrof-muhit o'zgaruvchilarini boshqarish, fayllarga maqsadli bo'lmagan kirish, o'rnatish skriptlarida (setup.py) tarmoq resurslariga kirish, typequattingdan foydalanish (mashhur kutubxonalar nomlariga o'xshash nomlarni belgilash), eskirgan va tashlab qo'yilgan loyihalarni aniqlash, mavjud bo'lmagan elektron pochta va veb-saytlarni ko'rsatish, kodli umumiy omborning yo'qligi.
Bundan tashqari, boshqa xavfsizlik tadqiqotchilari tomonidan AWS va uzluksiz integratsiya tizimlari uchun tokenlarni o'g'irlashni kutish bilan tashqi serverga atrof-muhit o'zgaruvchilari tarkibini yuborgan PyPi omboridagi beshta zararli paketlar aniqlanganini qayd etishimiz mumkin: loglib-modullar (ko'rsatilgan holda taqdim etilgan). qonuniy loglib kutubxonasi uchun modullar), pyg-modullar, pygrata va pygrata-utils (qonuniy pyg kutubxonasiga qo'shimchalar sifatida ko'rsatilgan) va hkg-sol-utils.
Manba: opennet.ru