Packj 平台的開發人員負責分析庫的安全性,他們發布了一個開放的命令列工具包,使他們能夠識別包中可能與惡意活動的實施或用於執行攻擊的漏洞的存在相關的風險結構。使用相關軟體包的項目(「供應鏈」)。 Python 和 JavaScript 語言支援套件檢查,託管在 PyPi 和 NPM 目錄中(他們還計劃在本月添加對 Ruby 和 RubyGems 的支援)。 該工具包程式碼是用 Python 編寫的,並根據 AGPLv3 許可證分發。
在使用 PyPi 儲存庫中的建議工具對 330 萬個軟體包進行分析期間,發現了 42 個帶有後門的惡意軟體包和 2.4 個有風險的軟體包。 在檢查過程中,會執行靜態程式碼分析來識別 API 功能並評估 OSV 資料庫中是否存在已知漏洞。 MalOSS套件用於分析API。 分析包程式碼是否存在惡意軟體中常用的典型模式。 這些範本是根據對 651 個已確認存在惡意活動的資料包的研究而準備的。
它還識別導致誤用風險增加的屬性和元數據,例如透過「eval」或「exec」執行區塊、在運行時產生新程式碼、使用混淆程式碼技術、操縱環境變數和非目標存取。檔案、存取安裝腳本(setup.py) 中的網路資源、使用typequatting(分配與流行庫名稱類似的名稱)、識別過時和廢棄的項目、指定不存在的電子郵件和網站、缺乏帶有程式碼的公共儲存庫。
此外,我們還可以注意到其他安全研究人員在PyPi 儲存庫中識別出五個惡意軟體包,這些軟體包將環境變數的內容傳送到外部伺服器,期望竊取AWS 和持續整合系統的令牌:loglib- modules(表示為合法 loglib 函式庫的模組)、 pyg-modules 、 pygrata 和 pygrata-utils (被譽為合法 pyg 函式庫的補充)和 hkg-sol-utils。
來源: opennet.ru