Исследователи обнаружили, что преступники были пойманы, выдавая себя за известную компанию по кибербезопасности, пытаясь украсть данные у разработчиков программного обеспечения.
Исследователи ReversingLabs недавно обнаружили в PyPI вредоносный пакет Python (откроется в новой вкладке) под названием «SentinelOne». Названный в честь известной компании по кибербезопасности в США, пакет утверждает, что является законным клиентским SDK, который обеспечивает легкий доступ к API SentinelOne из отдельного проекта.
Однако пакет также содержит файлы «api.py», которые содержат вредоносный код и позволяют злоумышленникам передавать конфиденциальные данные разработчика на сторонний IP-адрес (54.254.189.27).
Следуйте за токенами аутентификации и ключами API
Украденные данные включают в себя истории Bash и Zsh, ключи SSH, файлы .gitconfig, файлы хостов, информацию о конфигурации AWS, информацию о конфигурации Kube и т. д. Согласно сообщению, в этих папках обычно хранятся токены аутентификации, секреты и ключи API, что позволит злоумышленникам получить более широкий доступ к целевым облачным сервисам и конечным точкам серверов.
Хуже всего то, что пакет предлагает те функции, которые ожидали разработчики. На самом деле это пиратский пакет, а это означает, что ничего не подозревающие разработчики могут использовать его и стать жертвами по незнанию. Хорошей новостью является то, что ReversingLabs подтвердила вредоносное намерение пакета и, сообщив об этом SentinelOne и PyPI, удалила его из репозитория.
В дни и недели, предшествовавшие удалению, злоумышленники действовали очень активно. Пакет был впервые загружен в PyPI 11 декабря и был обновлен 20 раз менее чем за 10 дней.
Исследователи обнаружили, что одной из проблем, исправленных в обновлении, была невозможность извлечения данных из систем Linux.
Исследователи пришли к выводу, что трудно определить, попался ли кто-нибудь на удочку мошенничества, поскольку нет никаких доказательств того, что пакет использовался в реальной атаке. Однако все выпущенные версии были скачаны более 1000 раз.
Через: BleepingComputer (открывается в новой вкладке)