Вредоносный PyPI-пакет SentinelOne крадет данные у разработчиков

Вредоносный PyPI-пакет SentinelOne крадет данные у разработчиков. Фото: СС0

Разработчики пакета обещают лёгкий доступ к SentinelOne API из другого проекта. Однако ПО было троянизировано для кражи конфиденциальных данных из скомпрометированных систем разработчиков.

Атака была обнаружена специалистами из ReversingLabs, которые и сообщили о пакете SentinelOne и PyPi. После этого он был удалён.

Зловред был впервые загружен в PyPI 11 декабря 2022 года и с тех пор обновлялся двадцать раз.

По словам исследователей, считается, что пакет является копией фактического клиента SentinelOne SDK Python, а злоумышленник выполнил обновления для улучшения вредоносных функций пакета.

После дальнейшего анализа в компании ReversingLabs обнаружилт, что троянец содержит файлы «api.py» с вредоносным кодом, который крадет и загружает данные на IP-адрес (54.254.189.27), который не принадлежит инфраструктуре SentinelOne.

Он экспортирует различные данные, относящиеся к разработчикам, из всех домашних каталогов на устройстве. Эти данные включают истории Bash и Zsh, ключи SSH, файлы .gitconfig, файлы hosts, информацию о конфигурации AWS, информацию, Kube и многое другое.

Поскольку эти папки обычно содержат токены аутентификации, секреты и ключи API, считается, что субъект угрозы намеренно нацеливается на среды разработки для дальнейшего доступа к своим облачным службам и серверам.

Аналитики также обнаружили, что в ранних версиях поддельного пакета были проблемы с запуском модуля сбора данных в системах Linux, и эта проблема была исправлена ​​в более поздних версиях.

В ReversingLabs сообщают, что в период с 8 по 11 декабря 2022 года те же авторы загрузили еще пять пакетов с одинаковыми именами. Однако эти пакеты не содержали файлов api.py, поэтому они, вероятно, использовались для тестирования.

Все опубликованные версии вредоносного пакета вредоносных программ для кражи информации были загруженына PyPI более 1000 раз.

Исследователи ReversingLabs не смогли определить, использовался ли пакет в реальных атаках.

Startpack подготовил список антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме

• GitHub потребует от всех пользователей включить 2FA к концу 2023 года.
• Администрация ресторанной CRM-платформы SevenRooms подтверждает утечку данных.
• Разработчики ExpressVPN доказали безопасность своего программного обеспечения с помощью новых аудитов.
• Хакеры вскрыли портал обмена информацией о киберугрозах ФБР и украли данные пользователей.