最新消息:本站介绍:国外VPS、云服务器,海外服务器,一手资源推荐平台

恶意“SentinelOne”PyPI包窃取开发人员的数据

网络安全 快米云 来源:快米云 135浏览

手动筛选数据

威胁行为者在 PyPI 上发布了一个名为“SentinelOne”的恶意 Python 包,它伪装成受信任的美国网络安全公司的合法 SDK 客户端,但实际上是从开发人员那里窃取数据。

该包提供了预期的功能,可以轻松地从另一个项目中访问 SentinelOne API。但是,此软件包已被木马化以从受感染的开发人员系统中窃取敏感数据。

该攻击是由 ReversingLabs 发现的,它确认了恶意功能并将包报告给 SentinelOne 和 PyPi,导致包被删除。

木马SDK客户端

恶意SentinelOne包于2022年12月11日首次上传至PyPI,此后已更新20次。

PyPI 上的 SentinelOne 包
PyPI  (ReversingLabs)上的 SentinelOne 包

据研究人员称,该软件包被认为是实际 SentinelOne SDK python 客户端的副本,威胁行为者执行更新以改进和修复该软件包的恶意功能。

经过进一步分析,ReversingLabs 发现伪造的“SentinelOne”包中包含带有恶意代码的“api.py”文件,这些文件会窃取数据并将数据上传到不属于 SentinelOne 基础设施的 IP 地址(54.254.189.27)。

假包中的两个恶意文件
木马化包中的两个恶意文件 (ReversingLabs)

此恶意代码充当信息窃取恶意软件,从设备上的所有主目录导出各种与开发人员相关的数据。此数据包括 Bash 和 Zsh 历史记录、SSH 密钥、.gitconfig 文件、主机文件、AWS 配置信息、Kube 配置信息等。

由于这些文件夹通常包含身份验证令牌、机密和 API 密钥,因此我们认为威胁行为者故意将开发人员环境作为目标,以进一步访问他们的云服务和服务器。

“我们看到恶意代码用于收集有关 shell 命令执行历史的信息,以及包含 ssh 密钥和配置信息的 .ssh 文件夹的内容,包括与 Git、Kubernetes 和 AWS 服务相关的访问凭证和机密。” – 逆向实验室。
数据泄露代码
数据泄露代码 (ReversingLabs)

分析师还发现,早期版本的伪造包在 Linux 系统上运行数据收集模块时存在问题,该问题已在后续版本中得到修复。

ReversingLabs 报告称,在 2022 年 12 月 8 日至 11 日期间,发现了由同一作者上传的另外五个名称相似的包。但是,这些包不包含 api.py 文件,因此它们很可能用于测试。

该恶意信息窃取恶意软件包的所有已发布版本在 PyPI 上的下载次数已超过 1,000 次。

转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 恶意“SentinelOne”PyPI包窃取开发人员的数据