14/09/23
Python по праву считается одним из самых гибких языков программирования. Совместимость с различными платформами и технологиями делает его особенно популярным. Однако эти же функции могут оказаться потенциально опасными и сыграть с разработчиком злую шутку, пишет Securitylab. В чем заключается угроза?
Специалисты из Китая и Сингапура провели исследование и выяснили, что в экосистеме PyPI (Python Package Index — репозиторий Python) распространяется опасный вредоносный код. В ходе изучения 1556 зловредных и 549 случайным образом отобранных безопасных пакетов удалось оценить механизмы работы первых и их потенциальные цели.
Отмечается, что в репозитории GitHub есть такая же проблема. Если в среднем в PyPI обнаруживалось 2 опасных файла, расположенных «не глубже» третьей папки в иерархии каталога, то в проектах на GitHub было найдено в среднем по 23 зловредных файла глубиной в 17 папок.
Однако это не означает, что подозрительные программы из PyPI представляют меньшую угрозу. В 43% проанализированных элементов 90% кода или больше составлял хорошо замаскированный зловредный модуль.
Такие пакеты обычно меньше по размеру или, на первый взгляд, содержат меньше вредоносных элементов, потому что самые опасные части кода загружаются уже после того, как программа начала работать
Самой распространенной техникой, используемой злоумышленниками, оказалось выполнение произвольных команд — её применяли более 59% изученных пакетов. Следующий по популярности метод — кража данных и модификация файлов.
Луи Ланг, главный технический директор стартапа Phylum, высказался на эту тему на форуме HackerNews. Он считает, что в ближайшем будущем специалисты по кибербезопасности и создатели вредоносного ПО будут находиться в постоянной «гонке вооружений». Хотя методы обнаружения угроз станут лучше, злоумышленники, вероятно, тоже поменяют тактику.
Практически все крупные компании располагают мощными инструментами киберзащиты и привлекают лучших экспертов в этой области. Тем не менее, разработчикам, которые хотят опробовать новые библиотеки, сначала лучше протестировать их в изолированной защищенной среде.
