據(jù)悉,將于2023年9月11日至15日在盧森堡舉行的國(guó)際軟件工程學(xué)術(shù)會(huì)議(ASE 2023, the 38th IEEE/ACM International Conference on Automated Software Engineering)接受了學(xué)院方勇教授團(tuán)隊(duì)最新的研究成果《An Empirical Study of Malicious Code In PyPI Ecosystem》�����。該工作由永利yl23411官網(wǎng)�、南洋理工大學(xué)合作完成,其中永利yl23411官網(wǎng)為第一署名單位�����,2020級(jí)碩士研究生郭文博作為第一作者(導(dǎo)師方勇����、黃誠(chéng)),通訊作者為方勇教授��。
ASE由IEEE和ACM聯(lián)合主辦�����,是軟件工程領(lǐng)域國(guó)際知名的頂級(jí)會(huì)議之一�。ASE針對(duì)大型軟件系統(tǒng)的自動(dòng)化分析、設(shè)計(jì)�、實(shí)現(xiàn)、測(cè)試和維護(hù)等方面�,給來(lái)自學(xué)術(shù)界和工業(yè)界的軟件工程研究者和實(shí)踐者提供了共同討論的平臺(tái)���,分享相關(guān)領(lǐng)域最新研究成果、技術(shù)和工具等信息��,是中國(guó)計(jì)算機(jī)學(xué)會(huì)推薦國(guó)際學(xué)術(shù)會(huì)議(軟件工程����、系統(tǒng)軟件與程序設(shè)計(jì)語(yǔ)言)A類會(huì)議(CCF A)。本屆會(huì)議共收到629篇投稿�����,最終接收134篇���,接收率為21.3%����。
論文簡(jiǎn)介:PyPI為開(kāi)發(fā)人員提供了一個(gè)方便易用的包管理平臺(tái)�����,使他們能夠快速實(shí)現(xiàn)特定功能�����,提高工作效率�����。然而�,PyPI生態(tài)系統(tǒng)的快速發(fā)展也導(dǎo)致了嚴(yán)重的惡意包傳播問(wèn)題。惡意貢獻(xiàn)者將惡意軟件包偽裝成正常包給終端用戶帶來(lái)了重大安全風(fēng)險(xiǎn)����。為此,本研究對(duì)PyPI生態(tài)惡意代碼做了大規(guī)模的實(shí)證研究��,以了解其生命周期的特征和現(xiàn)狀�。首先構(gòu)建了自動(dòng)化數(shù)據(jù)采集框架,并構(gòu)建了包含4669個(gè)惡意包文件的多源惡意代碼數(shù)據(jù)集���,這是當(dāng)前最大的開(kāi)源可用數(shù)據(jù)集���。
根據(jù)惡意行為特征,論文設(shè)計(jì)了自動(dòng)化的分類模型�����,初步將惡意代碼分為五類�。研究發(fā)現(xiàn)�����,超過(guò) 50% 的惡意代碼表現(xiàn)出多種惡意行為�����,其中信息竊取和命令執(zhí)行尤其普遍�。此外�,還發(fā)現(xiàn)了幾種新穎的攻擊向量和反檢測(cè)技術(shù)。安裝時(shí)攻擊是將惡意代碼嵌入在setup.py文件中�,當(dāng)惡意包被安裝時(shí)會(huì)觸發(fā)其中的惡意代碼。運(yùn)行時(shí)攻擊的惡意代碼嵌入在“other.py”中�,當(dāng)受害者調(diào)用具體的方法時(shí)才會(huì)觸發(fā)。
引入時(shí)攻擊是將惡意代碼嵌入在__init__.py文件中��,當(dāng)惡意包被import時(shí)才會(huì)觸發(fā)其中的惡意代碼��。
分析顯示����,74.81%的惡意包通過(guò)源碼安裝成功進(jìn)入終端用戶項(xiàng)目,從而增加了安全風(fēng)險(xiǎn)��。同時(shí)����,研究發(fā)現(xiàn)惡意軟件包持續(xù)存在于全球PyPI鏡像服務(wù)器中�,其中超過(guò)72%的惡意軟件包在被發(fā)現(xiàn)后仍長(zhǎng)期存在于鏡像服務(wù)器中�。
最后�,本研究給出了PyPI生態(tài)系統(tǒng)中惡意代碼的生命周期圖,有效反映了惡意代碼在不同階段的特征�����。并提出了一些建議的緩解措施����,以提高Python開(kāi)源生態(tài)系統(tǒng)的安全性。
當(dāng)前位置: