Исследователи обнаружили, что преступники выдавали себя за известную фирму по кибербезопасности в попытке украсть данные у разработчиков программного обеспечения.
Исследователи из ReversingLabs недавно обнаружили вредоносный Python. (откроется в новой вкладке) пакет на PyPI под названием «SentinelOne». Названный в честь известной компании по кибербезопасности из США, пакет выдает себя за законного клиента SDK, обеспечивающего легкий доступ к SentinelOne API из отдельного проекта.
Однако пакет также содержит файлы «api.py», которые содержат вредоносный код и позволяют злоумышленникам передавать конфиденциальные данные от разработчиков на сторонний IP-адрес (54.254.189.27).
Использование токенов аутентификации и ключей API
Украденные данные включают истории Bash и Zsh, ключи SSH, файлы .gitconfig, файлы hosts, информацию о конфигурации AWS, информацию о конфигурации Kube и другие. Согласно публикации, в этих папках обычно хранятся токены аутентификации, секреты и ключи API, которые позволяют злоумышленникам получить дополнительный доступ к целевым облачным службам и конечным точкам сервера.
Хуже всего то, что пакет предлагает функции, ожидаемые разработчиками. На самом деле это украденный пакет, а это означает, что ничего не подозревающие разработчики могут в конечном итоге использовать его и стать жертвами по незнанию. Хорошая новость заключается в том, что ReversingLabs подтвердила злонамеренность пакета и, сообщив об этом SentinelOne и PyPI, удалила его из репозитория.
В дни и недели, предшествовавшие удалению, злоумышленники были весьма активны. Пакет был впервые загружен в PyPI 11 декабря и обновлялся 20 раз менее чем за 10 дней.
Исследователи обнаружили, что одной из проблем, которые были устранены в обновлении, была невозможность эксфильтрации данных из систем Linux.
Исследователи пришли к выводу, что трудно сказать, попался ли кто-нибудь на удочку, поскольку нет никаких доказательств того, что пакет использовался в реальной атаке. Тем не менее, все опубликованные версии были скачаны более 1000 раз.
С помощью: Пищит Компьютер (откроется в новой вкладке)
