By | 26 بهمن 1401
پکیج پایتون SentinelOne

پکیج پایتون SentinelOne برای سرقت اطلاعات توسعه‌دهندگان بکار گرفته می شود.

پکیج پایتون SentinelOne حاوی بدافزار سرقت اطلاعات مخرب است.

هکرها بسته‌ی مخربی به زبان پایتون را در PyPI منتشر کردند که «SentinelOne» نام دارد، که وانمود می‌کند مورد اعتماد SDK شرکت امنیت سایبری آمریکایی است. اما در واقع، اطلاعات توسعه‌دهندگان را به سرقت می برد.

هدف پکیج پایتون SentinelOne دسترسی آسان به SentinelOne API از داخل پروژه دیگر است. این بسته برای سرقت داده‌های حساس از سیستم‌های توسعه‌دهندگان در معرض خطر تروجانیزه شده است.

کلاینت SDK تروجانیزه شده

بسته مخرب SentinelOne برای اولین بار در 11 دسامبر 2022 در PyPI آپلود شد و از آن زمان تاکنون بیست بار به روز شده است.

پکیج پایتون SentinelOne

بسته SentinelOne در (ReversingLabs) PyPI

به گفته محققان، این بسته یک کپی از سرویس گیرنده پایتون واقعی SentinelOne SDK است و هکرها به‌روزرسانی‌ها را برای بهبود و رفع عملکرد مخرب بسته انجام داده اند. بسته جعلی «SentinelOne» حاوی فایل‌های «api.py» با کد مخربی است که داده‌ها را به آدرس IP (54.254.189.27) ارسال و آپلود می‌کند، که به زیرساخت SentinelOne تعلق ندارد.

پکیج پایتون SentinelOne

دو فایل مخرب در بسته تروجانیزه شده (ReversingLabs)

این کدهای مخرب به عنوان بدافزار سرقت اطلاعات عمل می‌کنند و انواع اطلاعات مربوط به توسعه‌دهندگان را از همه فهرست‌های اصلی دستگاه مورد نظر ارسال می‌کند. این اطلاعات شامل تاریخچه‌های Bash و Zsh، کلیدهای SSH، فایل‌های gitconfig، فایل‌های میزبان، اطلاعات پیکربندی AWS، اطلاعات پیکربندی Kube و موارد دیگر است.

از آنجایی که این پوشه‌ها معمولاً حاوی عوامل تأیید اعتبار، رمزها و کلیدهای API هستند، اعتقاد بر این است که عامل تهدید عمداً محیط‌های توسعه‌دهنده را برای دسترسی بیشتر به سرویس‌های ابری و سرورهای آن‌ها هدف قرار می‌دهد.

پکیج پایتون SentinelOne

کد استخراج داده ها (ReversingLabs)

تحلیلگران همچنین دریافتند که نسخه‌های اولیه پکیج پایتون SentinelOne در اجرای ماژول جمع‌آوری اطلاعات در سیستم عامل‌های لینوکس مشکل داشتند. مشکلی که در نسخه‌های بعدی آن برطرف شد!

پنج بسته دیگر با نام مشابه وجود دارد که توسط همان نویسندگان بین 8 تا 11 دسامبر 2022 آپلود شده اند. با این حال، این بسته ها حاوی فایل های api.py نبودند، بنابراین احتمالاً برای آزمایش استفاده می شدند.

* نسخه های منتشر شده پکیج پایتون SentinelOne بیش از 1000 بار در PyPI دانلود شده اند.

 

 

منابع:

Bleepingcomputer

ReversingLabs

Thehackernews

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *