20/12/22
Злоумышленники опубликовали на PyPI вредоносный Python-пакет под названием SentinelOne, который выдает себя за легитимный SDK-клиент для американской ИБ-компании SentinelOne, но на самом деле крадет данные у разработчиков. Об этом пишет Securitylab.
Пакет предлагает ожидаемую функциональность, которая позволяет легко получить доступ к API SentinelOne из другого проекта. Однако, этот пакет был троянизирован для кражи конфиденциальных данных из скомпрометированных систем разработчиков.
Атака была обнаружена исследователями ReversingLabs, которые сообщили о пакете SentinelOne и PyPI. На данный момент вредоносный пакет уже удален. Вредоносный пакет SentinelOne был впервые загружен в PyPI 11 декабря 2022 года и с тех пор обновлялся 20 раз.
По словам исследователей, пакет является копией настоящего SDK-клиента SentinelOne, а злоумышленник обновил его для улучшения и добавления вредоносных функций.
Поддельный пакет SentinelOne содержит файлы «api.py» с вредоносным кодом, который крадет и загружает данные на IP-адрес (54.254.189.27), который не принадлежит инфраструктуре SentinelOne.
Этот вредоносный код действует как вредоносное ПО для кражи различных данных разработчиков из всех домашних каталогов на устройстве. Собирается следующая информация:
- Bash- и Zsh-истории;
- SSH-ключи;
- файлы «.gitconfig»;
- файлы «hosts»;
- информация о конфигурации AWS;
- информация о конфигурации Kube.
Поскольку эти папки обычно содержат токены аутентификации, конфиденциальную информацию и API-ключи. По словам экспертов, киберпреступник намеренно нацеливается на среды разработки для дальнейшего доступа к своим облачным службам и серверам.
ReversingLabs сообщает, что в период с 8 по 11 декабря 2022 года те же авторы загрузили еще 5 пакетов с одинаковыми именами. Однако, эти пакеты не содержали файлов «api.py», поэтому они, вероятно, использовались для тестирования.
Все опубликованные версии вредоносного пакета вредоносных программ для кражи информации были загружены более 1000 раз на PyPI. Из собранных доказательств исследователи ReversingLabs не смогли определить, использовался ли пакет в реальных атаках.
