پکیج پایتون SentinelOne برای سرقت اطلاعات توسعهدهندگان بکار گرفته می شود.
پکیج پایتون SentinelOne حاوی بدافزار سرقت اطلاعات مخرب است.
هکرها بستهی مخربی به زبان پایتون را در PyPI منتشر کردند که «SentinelOne» نام دارد، که وانمود میکند مورد اعتماد SDK شرکت امنیت سایبری آمریکایی است. اما در واقع، اطلاعات توسعهدهندگان را به سرقت می برد.
هدف پکیج پایتون SentinelOne دسترسی آسان به SentinelOne API از داخل پروژه دیگر است. این بسته برای سرقت دادههای حساس از سیستمهای توسعهدهندگان در معرض خطر تروجانیزه شده است.
کلاینت SDK تروجانیزه شده
بسته مخرب SentinelOne برای اولین بار در 11 دسامبر 2022 در PyPI آپلود شد و از آن زمان تاکنون بیست بار به روز شده است.
بسته SentinelOne در (ReversingLabs) PyPI
به گفته محققان، این بسته یک کپی از سرویس گیرنده پایتون واقعی SentinelOne SDK است و هکرها بهروزرسانیها را برای بهبود و رفع عملکرد مخرب بسته انجام داده اند. بسته جعلی «SentinelOne» حاوی فایلهای «api.py» با کد مخربی است که دادهها را به آدرس IP (54.254.189.27) ارسال و آپلود میکند، که به زیرساخت SentinelOne تعلق ندارد.
دو فایل مخرب در بسته تروجانیزه شده (ReversingLabs)
این کدهای مخرب به عنوان بدافزار سرقت اطلاعات عمل میکنند و انواع اطلاعات مربوط به توسعهدهندگان را از همه فهرستهای اصلی دستگاه مورد نظر ارسال میکند. این اطلاعات شامل تاریخچههای Bash و Zsh، کلیدهای SSH، فایلهای gitconfig، فایلهای میزبان، اطلاعات پیکربندی AWS، اطلاعات پیکربندی Kube و موارد دیگر است.
از آنجایی که این پوشهها معمولاً حاوی عوامل تأیید اعتبار، رمزها و کلیدهای API هستند، اعتقاد بر این است که عامل تهدید عمداً محیطهای توسعهدهنده را برای دسترسی بیشتر به سرویسهای ابری و سرورهای آنها هدف قرار میدهد.
کد استخراج داده ها (ReversingLabs)
تحلیلگران همچنین دریافتند که نسخههای اولیه پکیج پایتون SentinelOne در اجرای ماژول جمعآوری اطلاعات در سیستم عاملهای لینوکس مشکل داشتند. مشکلی که در نسخههای بعدی آن برطرف شد!
پنج بسته دیگر با نام مشابه وجود دارد که توسط همان نویسندگان بین 8 تا 11 دسامبر 2022 آپلود شده اند. با این حال، این بسته ها حاوی فایل های api.py نبودند، بنابراین احتمالاً برای آزمایش استفاده می شدند.
* نسخه های منتشر شده پکیج پایتون SentinelOne بیش از 1000 بار در PyPI دانلود شده اند.
منابع:
Bleepingcomputer
ReversingLabs
Thehackernews