原文标题:An Empirical Study of Malicious Code In PyPI Ecosystem
原文作者:Wenbo Guo, Zhengzi Xu, Chengwei Liu, Cheng Huang, Yong Fang, Yang Liu
原文链接:https://arxiv.org/pdf/2309.11021.pdf
发表会议:ASE 2023
笔记作者:郭文博@安全学术圈
主编:黄诚@安全学术圈
1、研究介绍
PyPI作为Python包管理平台,为开发人员提供了便捷的工具来加速功能实现和提升工作效率。然而,PyPI生态的迅速扩展也伴随着恶意包的广泛传播问题。开发者通过将恶意包伪装成常规组件来威胁下游用户和项目的安全。当前,PyPI恶意代码检测领域面临着高质量、大规模数据集的缺乏,这限制了对该生态中恶意代码特征的深入了解。为应对这一挑战,本研究构建了一个自动化恶意代码收集框架,利用PyPI镜像站点及其他渠道收集高质量恶意代码数据,并在此基础上进行实证研究,以揭示PyPI生态中恶意代码的特性。
基于以上动机,作者围绕PyPI生态恶意代码展开了研究,并回答以下四个关键的研究问题:
1)代码属性: PyPI生态中恶意代码的主要属性和来源是什么?它们与其他平台相比如何?
2)攻击策略: 攻击者如何结合不同的攻击策略和恶意行为将代码注入到PyPI生态中的开源包?这些策略是如何在不同的平台和目标中演化和适应的?
3)反检测技术: 目前的检测工具在识别恶意包方面的有效性如何?恶意代码采用了哪些反检测技术来逃避这些检测工具,以及这些规避技术对其在野的分布产生了何种影响?
4)影响和渗透: 在PyPI生态系统中,恶意软件包对终端用户的影响如何随时间演变?哪些操作系统遭受了影响,以及恶意软件包是如何渗透到用户系统中的?