Razlike

Slijede razlike između dviju inačica stranice.

--- racfor_wiki:seminari2024:malware_u_pypi_ekosustavu [2024/12/28 10:46]
Brlek Marko [Primjeri prikrivanja malicioznih paketa]
+++ racfor_wiki:seminari2024:malware_u_pypi_ekosustavu [2024/12/29 19:16] (trenutno)
Brlek Marko [Malware u PyPI ekosustavu]
@@ Redak 1: / Redak 1: @@
+===== Malware u PyPI ekosustavu =====
+[[https://ferhr-my.sharepoint.com/:v:/g/personal/mb53187_fer_hr/EbcC19QedplIo11I5ko2THUBIgQ_Y4H2Eq5Zz_yKm7hdgg?nav=eyJyZWZlcnJhbEluZm8iOnsicmVmZXJyYWxBcHAiOiJPbmVEcml2ZUZvckJ1c2luZXNzIiwicmVmZXJyYWxBcHBQbGF0Zm9ybSI6IldlYiIsInJlZmVycmFsTW9kZSI6InZpZXciLCJyZWZlcnJhbFZpZXciOiJNeUZpbGVzTGlua0NvcHkifX0&e=e0mv8m|Videoprezentacija]]
+==== Sažetak ====
+PyPI, centralni repozitorij za Python pakete, ključan je za ubrzani razvoj softvera, ali njegova otvorenost čini ga ranjivim na maliciozne pakete. Napadači koriste različite metode za distribuciju zlonamjernog koda, poput manipulacije verzijama ovisnosti, imitacije popularnih biblioteka (typosquatting) ili implementacije skrivene maliciozne funkcionalnosti. Primjeri poput incidenta s PyTorchom i lažnih paketa poput "nupmy" pokazuju ozbiljnost prijetnje.
 ==== Uvod ====
@@ Redak 69: / Redak 77: @@
 ==== Detekcija malicioznih paketa ====
-Zbog ranjivog ekosustava, određene tvrtke specijalizirane za kibernetičku sigurnost kontinuirano skeniraju PyPI repozitorij i traže maliciozne pakete. SJedan od primjera je Security Labs, koji je razvio alat GuardDog. GuardDog analizira pakete i na temelju specifičnih značajki podiže upozorenja o mogućoj zlonamjernoj aktivnosti. Na sljedećoj slici prikazan je primjer takvog upozorenja:
+Zbog ranjivog ekosustava, određene tvrtke specijalizirane za kibernetičku sigurnost kontinuirano skeniraju PyPI repozitorij i traže maliciozne pakete. Jedan od primjera je Security Labs, koji je razvio alat GuardDog. GuardDog analizira pakete i na temelju specifičnih značajki podiže upozorenja o mogućoj zlonamjernoj aktivnosti. Na sljedećoj slici (Slika 4) prikazan je primjer takvog upozorenja:
-<slika>
+{{https://datadog-securitylabs.imgix.net/img/malicious-pypi-package-targeting-highly-specific-macos-machines/triage-workflow.png?500}}
+  Slika 4. Primjer GuardDog upozorenja
 Te značajke su:
 **Prazan opis paketa**:  Legitimni paketi gotovo uvijek uključuju opise kako bi pojasnili svoju svrhu, dok maliciozni često ostavljaju opis prazan.
 **Jedna python datoteka**: Paketi koji sadrže samo jednu Python datoteku mogu biti sumnjivi jer većina legitimnih paketa ima složeniju strukturu.
 **Prepisivanje komandi**: Ako paket prepisuje ponašanje prilikom izvršenja komande install, to može ukazivati na potencijalnu malicioznu namjeru.
 **Izvršavanje sustavnih komandi**: Paketi koji pozivaju komande operacijskog sustava izuzetno su sumnjivi jer to omogućava pokretanje zlonamjernog koda.
 No, ove značajke nisu dovoljne da bi mogli sa sigurnošću reći da je paket maliciozan, već nam samo kažu da moramo obaviti detaljniju analizu.
-Koraci detaljnije analize
+Koraci detaljnije analize:
 **1. Pregled datoteke setup.py**
-Detaljnija analiza bi trebala započeti tako da analiziramo "setup.py" datoteku. U njoj možemo vidjeti je li paket prepisao instalacijsku komandu te unutra umetnuo maliciozan kod, kao na slici:
+Detaljnija analiza bi trebala započeti tako da analiziramo "setup.py" datoteku. U njoj možemo vidjeti je li paket prepisao instalacijsku komandu te unutra umetnuo maliciozan kod, kao na slici (Slika 5):
-<slika>
+{{racfor_wiki:seminari2024:override_install.jpg}}
+  Slika 5. Prepisivanje instalacijske komande paketa
 **2. Analiza izvornog koda**

racfor_wiki/seminari2024/malware_u_pypi_ekosustavu.1735382766.txt.gz · Zadnja izmjena: 2024/12/28 10:46 od Brlek Marko