Los actores de amenazas han publicado un paquete de Python malicioso en PyPI, llamado 'SentinelOne', que pretende ser el cliente SDK legítimo de la firma de ciberseguridad estadounidense de confianza pero, en realidad, roba datos de los desarrolladores.
El paquete ofrece la funcionalidad esperada, que es acceder fácilmente a la API de SentinelOne desde otro proyecto. Sin embargo, este paquete ha sido troyanizado para robar datos confidenciales de sistemas de desarrolladores comprometidos.
El ataque fue descubierto por ReversingLabs, que confirmó la funcionalidad maliciosa e informó sobre el paquete a SentinelOne y PyPi, lo que condujo a la eliminación del paquete.
Cliente SDK troyanizado
El paquete malicioso SentinelOne se subió a PyPI por primera vez el 11 de diciembre de 2022 y se ha actualizado veinte veces desde entonces.
Según los investigadores, se cree que el paquete es una copia del cliente python SentinelOne SDK real, y el actor de amenazas realizó las actualizaciones para mejorar y corregir la funcionalidad maliciosa del paquete.
Luego de un análisis más detallado, ReversingLabs descubrió que el paquete falso 'SentinelOne' contiene archivos "api.py" con código malicioso que roba y carga datos a la dirección IP (54.254.189.27), que no pertenece a la infraestructura de SentinelOne.
Este código malicioso actúa como malware de robo de información, que exporta una variedad de datos relacionados con el desarrollador desde todos los directorios de inicio del dispositivo.
Estos datos incluyen historiales de Bash y Zsh, claves SSH, archivos .gitconfig, archivos de hosts, información de configuración de AWS, información de configuración de Kube y más.
Como estas carpetas suelen contener tokens de autenticación, secretos y claves de API, se cree que el actor de amenazas apunta intencionalmente a los entornos de desarrollo para obtener un mayor acceso a sus servicios y servidores en la nube.
“Vemos el código malicioso para recopilar información sobre el historial de ejecución de comandos de shell, así como el contenido de la carpeta .ssh que contiene claves ssh e información de configuración, incluidas las credenciales de acceso y los secretos, relacionados con los servicios de Git, Kubernetes y AWS”. - ReversingLabs.
Los analistas también descubrieron que las primeras versiones del paquete falso tenían problemas para ejecutar el módulo de recopilación de datos en los sistemas Linux, un problema que se solucionó en versiones posteriores.
ReversingLabs informa haber visto otros cinco paquetes con nombres similares cargados por los mismos autores entre el 8 y el 11 de diciembre de 2022.
Sin embargo, estos paquetes no contenían los archivos api.py, por lo que probablemente se usaron para realizar pruebas.
Todas las versiones publicadas del paquete de malware malicioso que roba información se han descargado más de 1000 veces en PyPI.
A partir de la evidencia recopilada, los investigadores de ReversingLabs no pudieron determinar si el paquete ya se usó en ataques reales.
Referencia y Créditos:
Comments