2021-09-17

Towards Measuring Supply Chain Attacks on Package Managers for Interpreted Languages

As of August 2019, there were more than 300 malicious packages reported and removed in different registries
(PyPI, Npm, RubyGems, etc)

将供应链漏洞分为四个角色

PM：代入一下为Github

RM：代入一下为Pypi， npm

Devs

Users

作者的分析方法

量化分析

1. 对Registry模型的各个阶段（功能模块 检查模块 修复模块）进行分析
2. 刻画威胁模型，对PM RM Dev User的恶意行为进行归类
   1. 攻击产生的原因
   2. 攻击的目标以及后果
3. 

实验分析

1. 元数据分析
2. 静态分析
3. 动态分析
4. 阳性验证

对package manager的结构进行了解析，将其划分为几个部分。

对每个部分的相关特性进行量化分析得到结论

在最后提出一种检测的手段（主要用于review process）

Small world with high risks: A study of security threats in the npm ecosystem

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-I95N6Gdw-1631885331572)(https://i.loli.net/2021/09/17/yu95oY3L2nQaxZI.png)]

应用场景的首创性

Hacker backdoors popular JavaScript library to steal Bitcoin funds

https://www.zdnet.com/article/hacker-backdoors-popular-javascript-library-to-steal-bitcoin-funds/

key point: 只有在特定源码中才能触发

Backdoored Docker Images Removed From Docker Hub

https://www.bleepingcomputer.com/news/security/17-backdoored-docker-images-removed-from-docker-hub/?cf_chl_jschl_tk=pmd_SJIOIEyKijVCu5xWs3iZJJRPgPbYMIKn97rTA.s.530-1631636004-0-gqNtZGzNAiWjcnBszQeR

Kubernetes (app for managing Docker images at a large scale)

key point: docker及其供应链

On the Impact of Outdated and Vulnerable Javascript Packages in Docker Images

1. Image中npm package的过期程度（根据调查日期与更新日期进行比较）
2. Image有多vulnerable（用npm vulnerability reports比对image中的vulnerability）

Over 30% of Official Images in Docker Hub Contain High Priority Security Vulnerabilities

把官方的docker image和野鸡的docker image拿来进行分别分析对其中的包进行分析。

研究方法依旧是用NVD中给出的CVE与image进行比较

Impact Analysis of Cross-Project Bugs on Software Ecosystems

RQ1: 如何确定下游模块使用了指定版本的FUN

RQ2: 如何确定触发

RQ1:
利用AST确定调用关系，构建调用图，同时考虑版本

RQ2:

利用符号执行的constraint solver来解决是否触发的问题。

关键就在于选择了合适的场景，这部分的触发条件较为简单，适合使用constraint solver来解决。