The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Packj - инструментарий для выявления вредоносных библиотек на языках Python и JavaScript

30.06.2022 10:24

Разработчики платформы Packj, анализирующей безопасность библиотек, опубликовали открытый инструментарий командной строки, позволяющий выявлять рискованные конструкции в пакетах, которые могут быть связаны с реализацией вредоносной активности или наличием уязвимостей, применяемых для совершения атак на проекты, использующие рассматриваемые пакеты ("supply chain"). Поддерживается проверка пакетов на языках Python и JavaScript, размещённых в каталогах PyPi и NPM (в этом месяце также планируют добавить поддержку Ruby и RubyGems). Код инструментария написан на языке Python и распространяется под лицензией AGPLv3.

В ходе анализа 330 тысяч пакетов при помощи предложенного инструментария в репозитории PyPi было выявлено 42 вредоносных пакета c бэкдорами и 2.4 тысячи рискованных пакетов. В процессе обследования выполняется статический анализ кода для выявления особенностей API и оценивается наличие известных уязвимостей, отмеченных в БД OSV. Для анализа API применяется пакет MalOSS. Код пакетов анализируется на предмет наличия типовых шаблонов, обычно применяемых во вредоносном ПО. Шаблоны подготовлены на основе изучения 651 пакетов с подтверждённой вредоносной активностью.

Также выявляются атрибуты и метаданные, приводящие к повышению риска нецелевого использования, такие как выполнение блоков через "eval" или "exec", формирование нового кода во время работы, использование техник запутывания и скрытия кода (obfuscated), манипуляции с переменными окружения, нецелевой доступ к файлам, обращение к сетевым ресурсам в сценариях установки (setup.py), использование тайпсквотинга (назначение имён, похожих на названия популярных библиотек), выявление устаревших и заброшенных проектов, указание несуществующих email и сайтов, отсутствие публичного репозитория с кодом.

Дополнительно можно отметить выявление другими исследователями безопасности пяти вредоносных пакетов в репозитории PyPi, которые отправляли на внешний сервер содержимое переменных окружения с расчётом на кражу токенов к AWS и системам непрерывной интеграции: loglib-modules (преподносилась как модули к легитимной библиотеке loglib), pyg-modules, pygrata и pygrata-utils (преподносились как дополнения к легитимной библиотеке pyg) и hkg-sol-utils.



  1. Главная ссылка к новости (https://github.com/ossillate-i...)
  2. OpenNews: Перехвачен контроль над Python-пакетом ctx и PHP-библиотекой phpass (дополнено)
  3. OpenNews: 46% Python-пакетов в репозитории PyPI содержат потенциально небезопасный код
  4. OpenNews: Опубликован анализатор, выявивший 200 вредоносных пакетов в NPM и PyPI
  5. OpenNews: В каталоге PyPI выявлены вредоносные библиотеки, использующие CDN PyPI для скрытия канала связи
  6. OpenNews: В каталоге Python-пакетов PyPI выявлены три вредоносные библиотеки
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/57429-packj
Ключевые слова: packj, pypi, python
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (28) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 10:51, 30/06/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +11 +/
    Так жабаскрипт вредонос на все 100%, чего там разбираться :)
     
     
  • 2.10, Ананас (?), 12:31, 30/06/2022 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Язык, который пора бы уже реально ликвидировать..
     
     
  • 3.34, Аноним (-), 02:11, 01/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    И гадюку пусть заберут за ним в ад.
     
  • 2.17, Аноним (17), 13:24, 30/06/2022 [^] [^^] [^^^] [ответить]  
  • +6 +/
    эталонная икспертиза опеннета
     
     
  • 3.21, Аноним (21), 18:23, 30/06/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Захожу сюда только за этим
     
  • 3.22, Аноним (22), 19:39, 30/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Холодный душ после мира розовых пони.  
     

  • 1.2, Жироватт (ok), 10:55, 30/06/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Сигнатуры антивир^W базу вредоносных пакетов как часто обновляют?
    ДокторВеб прикручивается? Модули дли интеграции с Каспермским присутствуют?
    Макак-модератор идёт в комплекте?
    Эвристический анализ в комплекте?
     
     
  • 2.3, QwertyReg (ok), 10:56, 30/06/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Эвристический анализ в комплекте?

    О чём, собственно, и была новость.

     
     
  • 3.23, Аноним (22), 19:40, 30/06/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Кроме тех кто умеет читать между строк.  
     
  • 2.14, Аноним (14), 12:50, 30/06/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Модуль для интеграции с ИИ
     

  • 1.5, Аноним (5), 11:03, 30/06/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Наверное чуваков мама не учила, что хранить токены доступа в открытом виде в переменных окружения - это плохая идея. Если это такая массовая проблема, то почему она до сих пор не решена кардинальными методами?
     
     
  • 2.6, Балабол (?), 11:11, 30/06/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > почему она до сих пор не решена кардинальными методами?

    Ракеты уже почти готовы, потерпите ещё чуть чуть.

     
  • 2.18, Аноним (17), 13:25, 30/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    и где же их тогда хранить?
     
  • 2.28, Онаним (?), 20:41, 30/06/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Это порождение неадекватизма смузи-докерочков. Там файлик в образ положить проблематично, он вообще может read-only быть, в итоге все параметры в это счастье косолапые васяны передают через переменные окружения.
     
     
  • 3.36, 1 (??), 09:19, 01/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Всё крутится по спирали. Вспомни как бились с глобальными переменными.
     

  • 1.8, Аноним (8), 11:59, 30/06/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Могли бы просто ввести модерацию для новых пакетов в репозиториях, уже достаточно было бы так не пропускать фишинг и большую часть вредоносов. Заодно и откровенный мусор, которого полно там.
     
     
  • 2.25, Аноним (22), 19:41, 30/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Тогда популярным стал бы какой-нибудь другой язык.  
     
  • 2.31, SNM (?), 21:40, 30/06/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Утопично. Ибо где ты найдешь столько модераторов, способных отличить зловредный код, от не_зловредного, в миллионах строк васяно-кода.
     
     
  • 3.33, Аноним (33), 23:14, 30/06/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    И те же модераторы могут быть далеко не беспристрастными. Это тоже забывать не стоит.
     
  • 3.35, Аноним (8), 05:34, 01/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Модерация не панацея, но помогло бы. А отличать миллионы строк не надо - там же большая часть поделок состоит из нескольких сотен строк от силы. Этого достаточно, чтобы самые наивные троянчики поймать, где удалённые ссылки открытым текстом написаны.
     

  • 1.13, user90 (?), 12:49, 30/06/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ээх, углепспластик но ониж все такие
     
     
  • 2.16, Аноним (16), 12:55, 30/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Охладите трахание, Углепластик!
     
     
  • 3.19, Ooiiii (?), 15:44, 30/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Потрачено, товарищ.
     

  • 1.20, lockywolf (ok), 17:25, 30/06/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    А есть ли инструментарий для написания вредоносных пакетов на Python и JavaScript?
     
     
  • 2.24, Аноним (22), 19:41, 30/06/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Первый это интерпретатор питона, второй это интерпретатор джаваскрипта.
     

  • 1.26, Аноним (-), 20:11, 30/06/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Они изобрели наколенную версию антивируса? А чего было просто не добавить в clamav вон те сигнатуры?
     
     
  • 2.32, Аноним (32), 22:09, 30/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Сделать помойку, потом делать её безопасной.

    Откуда там рациональные решения?

     

  • 1.29, SNM (?), 21:05, 30/06/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Таки смузи-way
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру