Packj - инструментарий для выявления вредоносных библиотек на языках Python и JavaScript
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
Разработчики платформы Packj, анализирующей безопасность библиотек, опубликовали открытый инструментарий командной строки, позволяющий выявлять рискованные конструкции в пакетах, которые могут быть связаны с реализацией вредоносной активности или наличием уязвимостей, применяемых для совершения атак на проекты, использующие рассматриваемые пакеты ("supply chain"). Поддерживается проверка пакетов на языках Python и JavaScript, размещённых в каталогах PyPi и NPM (в этом месяце также планируют добавить поддержку Ruby и RubyGems). Код инструментария написан на языке Python и распространяется под лицензией AGPLv3.
В ходе анализа 330 тысяч пакетов при помощи предложенного инструментария в репозитории PyPi было выявлено 42 вредоносных пакета c бэкдорами и 2.4 тысячи рискованных пакетов. В процессе обследования выполняется статический анализ кода для выявления особенностей API и оценивается наличие известных уязвимостей, отмеченных в БД OSV. Для анализа API применяется пакет MalOSS.
Код пакетов анализируется на предмет наличия типовых шаблонов, обычно применяемых во вредоносном ПО. Шаблоны подготовлены на основе изучения 651 пакетов с подтверждённой вредоносной активностью.
Также выявляются атрибуты и метаданные, приводящие к повышению риска нецелевого использования, такие как выполнение блоков через "eval" или "exec", формирование нового кода во время работы, использование техник запутывания и скрытия кода (obfuscated), манипуляции с переменными окружения, нецелевой доступ к файлам, обращение к сетевым ресурсам в сценариях установки (setup.py), использование тайпсквотинга (назначение имён, похожих на названия популярных библиотек), выявление устаревших и заброшенных проектов, указание несуществующих email и сайтов, отсутствие публичного репозитория с кодом.
Дополнительно можно отметить выявление другими исследователями безопасности пяти вредоносных пакетов в репозитории PyPi, которые отправляли на внешний сервер содержимое переменных окружения с расчётом на кражу токенов к AWS и системам непрерывной интеграции: loglib-modules (преподносилась как модули к легитимной библиотеке loglib),
pyg-modules, pygrata и pygrata-utils (преподносились как дополнения к легитимной библиотеке pyg) и hkg-sol-utils.
===========
Источник:
OpenNet.RU
===========
Похожие новости
- Главная ссылка к новости (https://github.com/ossillate-i...)
- OpenNews: Перехвачен контроль над Python-пакетом ctx и PHP-библиотекой phpass (дополнено)
- OpenNews: 46% Python-пакетов в репозитории PyPI содержат потенциально небезопасный код
- OpenNews: Опубликован анализатор, выявивший 200 вредоносных пакетов в NPM и PyPI
- OpenNews: В каталоге PyPI выявлены вредоносные библиотеки, использующие CDN PyPI для скрытия канала связи
- OpenNews: В каталоге Python-пакетов PyPI выявлены три вредоносные библиотеки
Похожие новости:
- Злоумышленники получили контроль над Python-пакетом ctx и PHP-библиотекой phpass
- В каталоге Python-пакетов PyPI выявлена вредоносная библиотека pymafka
- Уязвимость в Python, позволяющая вызвать системные команды из изолированных скриптов
- Проект PyScript развивает платформу для выполнения Python-скриптов в web-браузере
- Bloomberg открыл код memray, инструмента профилирования памяти для Python
- Выпуск SciPy 1.8.0, библиотеки для научных и инженерных расчётов
- В 3.6% протестированных Python-репозиториев выявлены ошибки, связанные с пропущенными запятыми
- Выпуск Python-библиотеки для научных вычислений NumPy 1.22.0
- В каталоге Python-пакетов PyPI выявлены три вредоносные библиотеки
- В основной ветке Python появилась возможность сборки для работы в браузере
Теги для поиска: #_packj, #_pypi, #_python
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 21-Ноя 21:14
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
|
Разработчики платформы Packj, анализирующей безопасность библиотек, опубликовали открытый инструментарий командной строки, позволяющий выявлять рискованные конструкции в пакетах, которые могут быть связаны с реализацией вредоносной активности или наличием уязвимостей, применяемых для совершения атак на проекты, использующие рассматриваемые пакеты ("supply chain"). Поддерживается проверка пакетов на языках Python и JavaScript, размещённых в каталогах PyPi и NPM (в этом месяце также планируют добавить поддержку Ruby и RubyGems). Код инструментария написан на языке Python и распространяется под лицензией AGPLv3. В ходе анализа 330 тысяч пакетов при помощи предложенного инструментария в репозитории PyPi было выявлено 42 вредоносных пакета c бэкдорами и 2.4 тысячи рискованных пакетов. В процессе обследования выполняется статический анализ кода для выявления особенностей API и оценивается наличие известных уязвимостей, отмеченных в БД OSV. Для анализа API применяется пакет MalOSS. Код пакетов анализируется на предмет наличия типовых шаблонов, обычно применяемых во вредоносном ПО. Шаблоны подготовлены на основе изучения 651 пакетов с подтверждённой вредоносной активностью. Также выявляются атрибуты и метаданные, приводящие к повышению риска нецелевого использования, такие как выполнение блоков через "eval" или "exec", формирование нового кода во время работы, использование техник запутывания и скрытия кода (obfuscated), манипуляции с переменными окружения, нецелевой доступ к файлам, обращение к сетевым ресурсам в сценариях установки (setup.py), использование тайпсквотинга (назначение имён, похожих на названия популярных библиотек), выявление устаревших и заброшенных проектов, указание несуществующих email и сайтов, отсутствие публичного репозитория с кодом. Дополнительно можно отметить выявление другими исследователями безопасности пяти вредоносных пакетов в репозитории PyPi, которые отправляли на внешний сервер содержимое переменных окружения с расчётом на кражу токенов к AWS и системам непрерывной интеграции: loglib-modules (преподносилась как модули к легитимной библиотеке loglib), pyg-modules, pygrata и pygrata-utils (преподносились как дополнения к легитимной библиотеке pyg) и hkg-sol-utils.  =========== Источник: OpenNet.RU =========== Похожие новости
|
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 21-Ноя 21:14
Часовой пояс: UTC + 5