論文の概要: An Empirical Study of Malicious Code In PyPI Ecosystem

• arxiv url: http://arxiv.org/abs/2309.11021v1
• Date: Wed, 20 Sep 2023 02:51:02 GMT
• ステータス: 処理完了
• システム内更新日: 2023-10-23 07:09:45.857955
• Title: An Empirical Study of Malicious Code In PyPI Ecosystem
• Title（参考訳）: PyPI生態系における悪意符号の実証的研究
• Authors: Wenbo Guo, Zhengzi Xu, Chengwei Liu, Cheng Huang, Yong Fang, Yang Liu
• Abstract要約: PyPIは便利なパッケージ管理プラットフォームを開発者に提供します。 PyPIエコシステムの急速な発展は、悪意のあるパッケージの伝播という深刻な問題を引き起こしている。 PyPIエコシステムにおける悪意のあるコードライフサイクルの特徴と現状を理解するための実証的研究を行う。
• 参考スコア（独自算出の注目度）: 15.739368369031277
• License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
• Abstract: PyPI provides a convenient and accessible package management platform to developers, enabling them to quickly implement specific functions and improve work efficiency. However, the rapid development of the PyPI ecosystem has led to a severe problem of malicious package propagation. Malicious developers disguise malicious packages as normal, posing a significant security risk to end-users. To this end, we conducted an empirical study to understand the characteristics and current state of the malicious code lifecycle in the PyPI ecosystem. We first built an automated data collection framework and collated a multi-source malicious code dataset containing 4,669 malicious package files. We preliminarily classified these malicious code into five categories based on malicious behaviour characteristics. Our research found that over 50% of malicious code exhibits multiple malicious behaviours, with information stealing and command execution being particularly prevalent. In addition, we observed several novel attack vectors and anti-detection techniques. Our analysis revealed that 74.81% of all malicious packages successfully entered end-user projects through source code installation, thereby increasing security risks. A real-world investigation showed that many reported malicious packages persist in PyPI mirror servers globally, with over 72% remaining for an extended period after being discovered. Finally, we sketched a portrait of the malicious code lifecycle in the PyPI ecosystem, effectively reflecting the characteristics of malicious code at different stages. We also present some suggested mitigations to improve the security of the Python open-source ecosystem.
• Abstract（参考訳）: PyPIは便利なパッケージ管理プラットフォームを開発者に提供し、特定の機能を迅速に実装し、作業効率を向上させる。 しかし、pypiエコシステムの急速な発展は、悪質なパッケージの伝播という深刻な問題を引き起こした。 悪意のある開発者は悪意のあるパッケージを正常に偽装し、エンドユーザに重大なセキュリティリスクをもたらす。 そこで我々は,PyPIエコシステムにおける悪意あるコードライフサイクルの特徴と現状を理解するための実証的研究を行った。 最初に自動データ収集フレームワークを構築し、4,669個の悪意のあるパッケージファイルを含むマルチソースの悪意あるコードデータセットを照合しました。 我々は、これらの悪意のあるコードを、悪意のある行動特性に基づいて5つのカテゴリに事前に分類した。 我々の研究によると、悪意のあるコードの50%以上が複数の悪意のある振る舞いを示しており、情報盗難やコマンド実行が特に多い。 さらに, 新規な攻撃ベクトルと抗検出技術について検討した。 解析の結果,悪意のあるパッケージの74.81%がソースコードのインストールを通じてエンドユーザプロジェクトへの侵入に成功した。 現実世界の調査によると、多くの悪意のあるパッケージが世界中のPyPIミラーサーバーに持続しており、発見後72%以上が長期にわたって残っている。 最後に、PyPIエコシステムにおける悪意のあるコードライフサイクルのポートレートをスケッチし、異なるステージにおける悪意のあるコードの特徴を効果的に反映した。 我々はまた、pythonのオープンソースエコシステムのセキュリティを改善するために提案されている緩和策をいくつか提示する。

関連論文リスト

• RedCode: Risky Code Execution and Generation Benchmark for Code Agents [50.81206098588923]
  RedCodeはリスクの高いコード実行と生成のためのベンチマークである。 RedCode-Execは、危険なコード実行につながる可能性のある、挑戦的なプロンプトを提供する。 RedCode-Genは160のプロンプトに関数シグネチャとドキュメントを入力として提供し、コードエージェントが命令に従うかどうかを評価する。
  論文  参考訳（メタデータ） (2024-11-12T13:30:06Z)
• Seeker: Enhancing Exception Handling in Code with LLM-based Multi-Agent Approach [54.03528377384397]
  現実世界のソフトウェア開発では、不適切な例外処理がコードの堅牢性と信頼性に重大な影響を与えます。 コードにおける例外処理を改善するために,大規模言語モデル (LLM) の利用について検討する。 例外処理のエキスパート開発者戦略にインスパイアされたマルチエージェントフレームワークであるSeekerを提案する。
  論文  参考訳（メタデータ） (2024-10-09T14:45:45Z)
• Towards Robust Detection of Open Source Software Supply Chain Poisoning Attacks in Industry Environments [9.29518367616395]
  我々は,NPMおよびPyPIエコシステムのための動的コード中毒検出パイプラインOSCARを提案する。 OSCARはサンドボックス環境でパッケージを完全に実行し、エクスポートされた関数やクラスに対してファズテストを採用し、アスペクトベースの振る舞い監視を実装している。 我々は、現実世界の悪質で良質なパッケージの包括的なベンチマークデータセットを用いて、OSCARを既存の6つのツールと比較した。
  論文  参考訳（メタデータ） (2024-09-14T08:01:43Z)
• The Impact of SBOM Generators on Vulnerability Assessment in Python: A Comparison and a Novel Approach [56.4040698609393]
  Software Bill of Materials (SBOM) は、ソフトウェア構成における透明性と妥当性を高めるツールとして推奨されている。 現在のSBOM生成ツールは、コンポーネントや依存関係を識別する際の不正確さに悩まされることが多い。 提案するPIP-sbomは,その欠点に対処する新しいピップインスパイアされたソリューションである。
  論文  参考訳（メタデータ） (2024-09-10T10:12:37Z)
• An Empirical Study on Package-Level Deprecation in Python Ecosystem [6.0347124337922144]
  広く採用されているプログラミング言語であるPythonは、広範囲で多様なサードパーティ製パッケージエコシステムで有名である。 Pythonエコシステム内のOSSパッケージのかなりの数は、メンテナンスが不十分で、機能やセキュリティの潜在的なリスクにつながっている。 本稿では,Pythonエコシステムにおけるパッケージレベルの非推奨事項の公表,受信,処理に関する現在の実践について検討する。
  論文  参考訳（メタデータ） (2024-08-19T18:08:21Z)
• Malicious Package Detection using Metadata Information [0.272760415353533]
  本稿では,メタデータに基づく悪意のあるパッケージ検出モデルであるMeMPtecを紹介する。 MeMPtecはパッケージメタデータ情報から一連の機能を抽出する。 実験の結果,偽陽性と偽陰性の両方が有意な減少を示した。
  論文  参考訳（メタデータ） (2024-02-12T06:54:57Z)
• On the Feasibility of Cross-Language Detection of Malicious Packages in npm and PyPI [6.935278888313423]
  悪意のあるユーザは悪意のあるコードを含むオープンソースパッケージを公開することでマルウェアを拡散し始めた。 最近の研究は、npmエコシステム内の悪意あるパッケージを検出するために機械学習技術を適用している。 言語に依存しない一連の特徴と,npm と PyPI の悪意あるパッケージを検出可能なモデルのトレーニングを含む,新しいアプローチを提案する。
  論文  参考訳（メタデータ） (2023-10-14T12:32:51Z)
• Malicious Package Detection in NPM and PyPI using a Single Model of Malicious Behavior Sequence [7.991922551051611]
  パッケージレジストリ NPM と PyPI は悪意のあるパッケージで溢れている。 既存の悪意あるNPMとPyPIパッケージ検出アプローチの有効性は、2つの課題によって妨げられている。 我々は,NPMとPyPIの悪意あるパッケージを検出するためにCerebroを提案し,実装する。
  論文  参考訳（メタデータ） (2023-09-06T00:58:59Z)
• On the Security Blind Spots of Software Composition Analysis [46.1389163921338]
  Mavenリポジトリで脆弱性のあるクローンを検出するための新しいアプローチを提案する。 Maven Centralから53万以上の潜在的な脆弱性のあるクローンを検索します。 検出された727個の脆弱なクローンを検出し、それぞれに検証可能な脆弱性証明プロジェクトを合成する。
  論文  参考訳（メタデータ） (2023-06-08T20:14:46Z)
• FAT Forensics: A Python Toolbox for Implementing and Deploying Fairness, Accountability and Transparency Algorithms in Predictive Systems [69.24490096929709]
  FAT ForensicsというオープンソースのPythonパッケージを開発しました。 予測アルゴリズムの重要な公平性、説明可能性、透明性を検査することができる。 私たちのツールボックスは、予測パイプラインのすべての要素を評価することができます。
  論文  参考訳（メタデータ） (2022-09-08T13:25:02Z)
• VELVET: a noVel Ensemble Learning approach to automatically locate VulnErable sTatements [62.93814803258067]
  本稿では,ソースコード中の脆弱な文を見つけるための新しいアンサンブル学習手法であるVELVETを提案する。 我々のモデルは、グラフベースとシーケンスベースニューラルネットワークを組み合わせて、プログラムグラフの局所的およびグローバル的コンテキストを捕捉する。 VELVETは、合成データと実世界のデータに対して、それぞれ99.6%と43.6%の精度を達成している。
  論文  参考訳（メタデータ） (2021-12-20T22:45:27Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。