研究人員發(fā)現(xiàn)，掃描工具原本負(fù)責(zé)清除通過(guò)流行的開(kāi)源代碼存儲(chǔ)庫(kù)PyPI分發(fā)的軟件包所含的惡意代碼，實(shí)際上卻生成大量的誤警報(bào)。

PyPI是面向用Python編寫(xiě)的應(yīng)用程序中使用的軟件組件的主要代碼庫(kù)，Chainguard公司分析PyPI后發(fā)現(xiàn)，這種方法只揪出了59%的惡意軟件包，但也誤標(biāo)了三分之一流行的合法Python軟件包和15%的隨機(jī)選擇的軟件包。

Chainguard的研究人員在周二的分析報(bào)告中表示，研究工作旨在創(chuàng)建一個(gè)數(shù)據(jù)集，以便Python維護(hù)人員和PyPI代碼庫(kù)可以用來(lái)確定其系統(tǒng)在掃描項(xiàng)目、查找惡意更改和供應(yīng)鏈攻擊方面的效果。

參與這項(xiàng)研究的Chainguard高級(jí)軟件工程師Zack Newman表示，雖然現(xiàn)有方法可以檢測(cè)出大多數(shù)惡意軟件，但顯然需要重大改進(jìn)，那樣才能防止誤警報(bào)浪費(fèi)項(xiàng)目經(jīng)理的時(shí)間。

他表示，這些是還有其他工作要做的志愿者，而不是愿意整天搜索可疑代碼的安全研究人員。他們格外關(guān)注PyPI的安全性，不遺余力地改善這種情況，但眼下收效甚微。

誤報(bào)是許多軟件分析工具的禍根，因此也是安全團(tuán)隊(duì)的禍根。即使某個(gè)系統(tǒng)能做到百分之百準(zhǔn)確地發(fā)現(xiàn)惡意軟包，如果其誤報(bào)率為1%，假設(shè)每周發(fā)布的20000個(gè)PyPI軟件包中只要有一個(gè)是惡意軟件包，那么開(kāi)發(fā)人員和應(yīng)用程序安全專(zhuān)業(yè)人員仍然每周需要處理200個(gè)假警報(bào)。

數(shù)百個(gè)軟件包在研究中觸發(fā)了警報(bào)，雖然研究人員進(jìn)行了一些抽查，但僅僅快速查看不足以確定某個(gè)軟件包是否是惡意的——這就是為什么惡意軟件檢測(cè)工具如此重要。代碼存儲(chǔ)庫(kù)管理員令人同情，他們每周要面對(duì)比這多出十倍的警報(bào)。

為了確保實(shí)用性，掃描工具需要將誤報(bào)率降低到0.01%左右，哪怕以遺漏一些惡意軟件包為代價(jià)。

PyPI的惡意軟件掃描方法

PyPI旨在通過(guò)以?xún)煞N方式檢查軟件包和項(xiàng)目來(lái)阻止軟件供應(yīng)鏈攻擊。PyPI使用簽名掃描軟件包的setup.py文件，以檢測(cè)可能表明含有惡意功能的已知的可疑模式——簽名用YARA規(guī)則表示，這是一種創(chuàng)建惡意軟件簽名的行業(yè)標(biāo)準(zhǔn)。YARA的全稱(chēng)是Yet Another Recursive Acronym，與其說(shuō)是描述性名稱(chēng)，不如說(shuō)是行業(yè)內(nèi)部的戲稱(chēng)。此外，代碼存儲(chǔ)庫(kù)的掃描工具會(huì)分析提交項(xiàng)目和貢獻(xiàn)者，查找可能表明惡意代碼的可疑更改。

研究人員使用168個(gè)針對(duì)PyPI代碼存儲(chǔ)庫(kù)的已知惡意攻擊示例構(gòu)建了數(shù)據(jù)集。然后，他們創(chuàng)建了第二個(gè)數(shù)據(jù)集，含有1000個(gè)下載次數(shù)最多的軟件包和1000個(gè)導(dǎo)入次數(shù)最多的軟件包；他們消除重復(fù)項(xiàng)后，最后得到了1430個(gè)流行軟件包。另外，他們還創(chuàng)建了一個(gè)隨機(jī)選擇的1000個(gè)軟件包組成的數(shù)據(jù)集，由于14個(gè)軟件包沒(méi)有任何Python代碼，最后得到的是986個(gè)隨機(jī)的Python軟件包。

研究人員表示，流行軟件包和隨機(jī)選擇的軟件包都被認(rèn)為是合法的。此外，流行項(xiàng)目可能有更高的安全性，并遵守編程方面的最佳實(shí)踐。

研究人員在周二發(fā)布的分析報(bào)告中寫(xiě)道：“雖然其中一些軟件包可能是惡意軟件包，但之外的大部分軟件包是惡意軟件包的可能性微乎其微。重要的是，這些軟件包更有可能代表從 PyPI隨機(jī)選擇的軟件包。”

開(kāi)源軟件存儲(chǔ)庫(kù)仍然是網(wǎng)絡(luò)犯罪活動(dòng)的目標(biāo)

當(dāng)下，應(yīng)用程序安全專(zhuān)業(yè)人員和軟件開(kāi)發(fā)人員在想方設(shè)法為構(gòu)成普通程序中78%代碼的開(kāi)源軟件組件確保安全性。

開(kāi)源安全基金會(huì)（OpenSSF）已采取了多項(xiàng)舉措，以提高開(kāi)源軟件供應(yīng)鏈的安全性，包括確定需要更嚴(yán)格安全審查的最關(guān)鍵的軟件包，以及支持采用SigStore，這個(gè)項(xiàng)目通過(guò)加密方法將源代碼與已編譯的軟件包關(guān)聯(lián)起來(lái)。

在過(guò)去這幾年，針對(duì)軟件供應(yīng)鏈的攻擊有增無(wú)減。僅僅在過(guò)去一個(gè)月，安全公司卡巴斯基就在Node Package Manager（npm）代碼存儲(chǔ)庫(kù)中發(fā)現(xiàn)了惡意軟件，而安全公司Check Point和Snyk發(fā)現(xiàn)了托管在PyPI存儲(chǔ)庫(kù)服務(wù)上的十多個(gè)惡意軟件包。

此外，意大利的一名學(xué)齡兒童向PyPI上傳了多個(gè)含有勒索軟件腳本的惡意Python軟件包，據(jù)稱(chēng)此舉純屬試驗(yàn)。

不太可能只有PyPI出現(xiàn)有問(wèn)題的掃描結(jié)果。展望未來(lái)，Chainguard研究人員計(jì)劃擴(kuò)大分析范圍，評(píng)估至少四款開(kāi)源軟件惡意軟件分析工具，比如OSSGadget Detect Backdoor、bandit4ma和OSSF Package Analysis，并將PyPI Malware Checks規(guī)則轉(zhuǎn)換成SemGrep，后者是一款多語(yǔ)言開(kāi)源靜態(tài)代碼分析工具。

本文翻譯自：https://www.darkreading.com/application-security/one-third-pypi-packages-mistakenly-flagged-malicious如若轉(zhuǎn)載，請(qǐng)注明原文地址。