Packj - инструментарий для выявления вредоносных библиотек на языках Python и JavaScript

30.06.2022 10:24

Разработчики платформы Packj, анализирующей безопасность библиотек, опубликовали открытый инструментарий командной строки, позволяющий выявлять рискованные конструкции в пакетах, которые могут быть связаны с реализацией вредоносной активности или наличием уязвимостей, применяемых для совершения атак на проекты, использующие рассматриваемые пакеты ("supply chain"). Поддерживается проверка пакетов на языках Python и JavaScript, размещённых в каталогах PyPi и NPM (в этом месяце также планируют добавить поддержку Ruby и RubyGems). Код инструментария написан на языке Python и распространяется под лицензией AGPLv3.

В ходе анализа 330 тысяч пакетов при помощи предложенного инструментария в репозитории PyPi было выявлено 42 вредоносных пакета c бэкдорами и 2.4 тысячи рискованных пакетов. В процессе обследования выполняется статический анализ кода для выявления особенностей API и оценивается наличие известных уязвимостей, отмеченных в БД OSV. Для анализа API применяется пакет MalOSS. Код пакетов анализируется на предмет наличия типовых шаблонов, обычно применяемых во вредоносном ПО. Шаблоны подготовлены на основе изучения 651 пакетов с подтверждённой вредоносной активностью.

Также выявляются атрибуты и метаданные, приводящие к повышению риска нецелевого использования, такие как выполнение блоков через "eval" или "exec", формирование нового кода во время работы, использование техник запутывания и скрытия кода (obfuscated), манипуляции с переменными окружения, нецелевой доступ к файлам, обращение к сетевым ресурсам в сценариях установки (setup.py), использование тайпсквотинга (назначение имён, похожих на названия популярных библиотек), выявление устаревших и заброшенных проектов, указание несуществующих email и сайтов, отсутствие публичного репозитория с кодом.

Дополнительно можно отметить выявление другими исследователями безопасности пяти вредоносных пакетов в репозитории PyPi, которые отправляли на внешний сервер содержимое переменных окружения с расчётом на кражу токенов к AWS и системам непрерывной интеграции: loglib-modules (преподносилась как модули к легитимной библиотеке loglib), pyg-modules, pygrata и pygrata-utils (преподносились как дополнения к легитимной библиотеке pyg) и hkg-sol-utils.

исправить +3 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/57429-packj

Ключевые слова: packj, pypi, python

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (28)

1.1, Аноним (1), 10:51, 30/06/2022 [ответить] [﹢﹢﹢] [ · · · ]	+11 +/–
Так жабаскрипт вредонос на все 100%, чего там разбираться :)

2.10, Ананас (?), 12:31, 30/06/2022 [^] [^^] [^^^] [ответить]	–2 +/–
Язык, который пора бы уже реально ликвидировать..

3.34, Аноним (-), 02:11, 01/07/2022 [^] [^^] [^^^] [ответить]	+/–
И гадюку пусть заберут за ним в ад.

2.17, Аноним (17), 13:24, 30/06/2022 [^] [^^] [^^^] [ответить]	+6 +/–
эталонная икспертиза опеннета

3.21, Аноним (21), 18:23, 30/06/2022 [^] [^^] [^^^] [ответить]	+1 +/–
Захожу сюда только за этим

3.22, Аноним (22), 19:39, 30/06/2022 [^] [^^] [^^^] [ответить]	+/–
Холодный душ после мира розовых пони.

1.2, Жироватт (ok), 10:55, 30/06/2022 [ответить] [﹢﹢﹢] [ · · · ]	–2 +/–
Сигнатуры антивир^W базу вредоносных пакетов как часто обновляют? ДокторВеб прикручивается? Модули дли интеграции с Каспермским присутствуют? Макак-модератор идёт в комплекте? Эвристический анализ в комплекте?

2.3, QwertyReg (ok), 10:56, 30/06/2022 [^] [^^] [^^^] [ответить]	–1 +/–
> Эвристический анализ в комплекте? О чём, собственно, и была новость.

3.23, Аноним (22), 19:40, 30/06/2022 [^] [^^] [^^^] [ответить]	+2 +/–
Кроме тех кто умеет читать между строк.

2.14, Аноним (14), 12:50, 30/06/2022 [^] [^^] [^^^] [ответить]	+1 +/–
Модуль для интеграции с ИИ

1.5, Аноним (5), 11:03, 30/06/2022 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Наверное чуваков мама не учила, что хранить токены доступа в открытом виде в переменных окружения - это плохая идея. Если это такая массовая проблема, то почему она до сих пор не решена кардинальными методами?

2.6, Балабол (?), 11:11, 30/06/2022 [^] [^^] [^^^] [ответить]	+2 +/–
> почему она до сих пор не решена кардинальными методами? Ракеты уже почти готовы, потерпите ещё чуть чуть.

2.18, Аноним (17), 13:25, 30/06/2022 [^] [^^] [^^^] [ответить]	+/–
и где же их тогда хранить?

2.28, Онаним (?), 20:41, 30/06/2022 [^] [^^] [^^^] [ответить]	+1 +/–
Это порождение неадекватизма смузи-докерочков. Там файлик в образ положить проблематично, он вообще может read-only быть, в итоге все параметры в это счастье косолапые васяны передают через переменные окружения.

3.36, 1 (??), 09:19, 01/07/2022 [^] [^^] [^^^] [ответить]	+/–
Всё крутится по спирали. Вспомни как бились с глобальными переменными.

1.8, Аноним (8), 11:59, 30/06/2022 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Могли бы просто ввести модерацию для новых пакетов в репозиториях, уже достаточно было бы так не пропускать фишинг и большую часть вредоносов. Заодно и откровенный мусор, которого полно там.

2.25, Аноним (22), 19:41, 30/06/2022 [^] [^^] [^^^] [ответить]	+/–
Тогда популярным стал бы какой-нибудь другой язык.

2.31, SNM (?), 21:40, 30/06/2022 [^] [^^] [^^^] [ответить]	+2 +/–
Утопично. Ибо где ты найдешь столько модераторов, способных отличить зловредный код, от не_зловредного, в миллионах строк васяно-кода.

3.33, Аноним (33), 23:14, 30/06/2022 [^] [^^] [^^^] [ответить]	+1 +/–
И те же модераторы могут быть далеко не беспристрастными. Это тоже забывать не стоит.

3.35, Аноним (8), 05:34, 01/07/2022 [^] [^^] [^^^] [ответить]	+/–
Модерация не панацея, но помогло бы. А отличать миллионы строк не надо - там же большая часть поделок состоит из нескольких сотен строк от силы. Этого достаточно, чтобы самые наивные троянчики поймать, где удалённые ссылки открытым текстом написаны.

1.13, user90 (?), 12:49, 30/06/2022 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Ээх, углепспластик но ониж все такие

2.16, Аноним (16), 12:55, 30/06/2022 [^] [^^] [^^^] [ответить]	+/–
Охладите трахание, Углепластик!

3.19, Ooiiii (?), 15:44, 30/06/2022 [^] [^^] [^^^] [ответить]	+/–
Потрачено, товарищ.

1.20, lockywolf (ok), 17:25, 30/06/2022 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
А есть ли инструментарий для написания вредоносных пакетов на Python и JavaScript?

2.24, Аноним (22), 19:41, 30/06/2022 [^] [^^] [^^^] [ответить]	+1 +/–
Первый это интерпретатор питона, второй это интерпретатор джаваскрипта.

1.26, Аноним (-), 20:11, 30/06/2022 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
Они изобрели наколенную версию антивируса? А чего было просто не добавить в clamav вон те сигнатуры?

2.32, Аноним (32), 22:09, 30/06/2022 [^] [^^] [^^^] [ответить]	+/–
Сделать помойку, потом делать её безопасной. Откуда там рациональные решения?

1.29, SNM (?), 21:05, 30/06/2022 [ответить] [﹢﹢﹢] [ · · · ]	+3 +/–
Таки смузи-way

игнорирование участников | лог модерирования

Добавить комментарий

Текст: