GuardDog：开源工具识别恶意Python包

GuardDog是一款新开源的Python包安全检测工具，由DataDog开发，旨在通过静态分析和包元数据分析识别恶意Python包。该工具利用Semgrep和一系列源代码启发式方法，能够检测从未见过的恶意包，并已成功识别多个PyPi上的恶意包。

主要功能与技术

1. 恶意包攻击向量分析：

   • DataDog通过对已知恶意PyPi包进行逆向工程，识别了常见的攻击手段，包括：

     • 包名仿冒（typosquatting）或维护者账户/邮件域名仿冒，诱导用户安装恶意包。
     • 在安装时执行代码（特别是后安装步骤），或下载第二阶段可执行文件。
     • 窃取敏感数据（如AWS访问密钥）等。

2. 静态分析与启发式检测：

   • GuardDog使用静态分析技术，通过一系列启发式规则扫描源代码和PyPi包元数据，检测恶意行为。这些规则包括：

     • 检测setup.py中命令覆盖以执行系统命令。
     • 检测使用eval或exec执行Base64编码数据或图像。
     • 检测执行从互联网下载的文件。
     • 检测在出站网络请求中包含环境变量的载荷（用于窃取敏感数据）。
     • 检测使用可疑域名（如.xyz、.top或短链接）。

3. Semgrep的污点跟踪技术：

   • GuardDog利用Semgrep的过程内污点跟踪技术，分析数据在程序中的流动，识别数据在到达易受攻击函数之前未被转换或清理的情况。

4. 包元数据分析：

   • 除了源代码，GuardDog还扫描包元数据，检测以下行为：

     • 包名仿冒。
     • 包维护者邮件的变更。
     • 包信息的缺失。

实际应用与测试

GuardDog已在PyPi上进行了测试，成功识别了多个使用上述技术运行恶意代码或窃取敏感数据的包。

安装与获取

GuardDog可以通过pip安装，也可以从GitHub下载。

总结

GuardDog通过静态分析和包元数据分析，结合Semgrep的污点跟踪技术，能够有效识别PyPi上的恶意Python包，为Python生态系统的安全提供了重要保障。其开源特性也使得开发者可以轻松使用和贡献改进。