Automātiska drošības novērtēšana NPM pakotnēm

Abstract

Mūsdienu programmatūras risinājumi izmanto pakotņu pārvaldniekus, bet pakotnes var būt ļaunprātīgas, tāpēc nepieciešama to pārbaude. Šajā darbā apskatītas esošās metodes un risinājumi automātiskai ļaunprātīgu NPM pakotņu atpazīšanai, kā arī to darbības un nepilnību analīze. Izstrādāta jauna īpašību izvilkšanas un loģistiskās regresijas balstīta atpazīšanas metode. Apvienotā pieeja nodrošināja 99% ļaunprātīgo pakotņu atpazīšanu testa datu kopā. Veicot 24 stundu eksperimentu — atjaunoto NPM reģistra pakotņu analīzē — tika atklātas deviņas jaunas manuāli apstiprinātas ļaunprātīgas pakotnes.

Modern software solutions rely on package managers, but packages can be malicious, so they must be verified. This work reviews existing methods and tools for automatic detection of malicious NPM packages, and analyzes their operation and shortcomings. A new feature extraction and logistic regression based detection method was developed. The combined approach achieved 99% detection of malicious packages on the test dataset. In a 24-hour experiment — analyzing changed NPM registry packages — nine new, manually confirmed malicious packages were discovered.