Araştırmacılar, Verileri Çalmak İçin SentinelOne SDK Olarak Görünen Kötü Amaçlı PyPI Paketini Keşfetti

Araştırmacılar, Verileri Çalmak İçin SentinelOne SDK Olarak Görünen Kötü Amaçlı PyPI Paketini Keşfetti


19 Aralık 2022Ravie LakshmananYazılım Güvenliği / Tedarik Zinciri

Siber güvenlik araştırmacıları, Python Paket Dizini (PyPI) deposunda, büyük bir siber güvenlik şirketi olan SentinelOne için bir yazılım geliştirme kiti (SDK) kimliğine bürünen yeni bir kötü amaçlı paket keşfetti. NöbetçiGizliliği.

adlı paket SentinelOne ve şimdi kaldırıldı, 8 ve 11 Aralık 2022 arasında yayınlandığı söyleniyor ve iki günlük bir süre içinde hızlı bir şekilde arka arkaya yaklaşık iki düzine versiyon yayınlandı.

erişmek için daha kolay bir yöntem sunduğunu iddia ediyor. şirketin API’leriancak erişim kimlik bilgileri, SSH anahtarları ve yapılandırma verileri dahil olmak üzere geliştirme sistemlerinden hassas bilgileri toplamak için tasarlanmış kötü amaçlı bir arka kapı barındırır.

Dahası, tehdit aktörünün benzer adlandırma varyasyonlarına sahip iki paket daha yayınladığı gözlemlendi – SentinelOne-sdk ve SentinelOneSDK – açık kaynak havuzlarında gizlenen devam eden tehditlerin altını çizmek.

“SentinelOne sahtekar paketi, PyPI deposundan yararlanmaya yönelik en son tehdittir ve kötü niyetli aktörler, geliştiricilerin kafa karışıklığından yararlanmak ve kötü amaçlı kodları geliştirme boru hatlarına ve meşru uygulamalara itmek için ‘yazım hatası’ gibi stratejiler kullandığından, yazılım tedarik zincirlerine yönelik büyüyen tehdidin altını çizer.” ReversingLabs tehdit araştırmacısı Karlo Zanki söz konusu The Hacker News ile paylaşılan bir raporda.

Hileli paketle ilgili dikkate değer olan şey, bir yasal SDK SentinelOne tarafından müşterilerine sunulan ve potansiyel olarak geliştiricileri PyPI’dan modülü indirmeleri için kandıran.

Kötü amaçlı PyPI paketi

Yazılım tedarik zinciri güvenlik şirketi, SDK müşteri kodunun “şirketten meşru bir müşteri hesabı yoluyla alınmış olması muhtemel” olabileceğini belirtti.

Kötü amaçlı yazılım tarafından uzak bir sunucuya sızan verilerden bazıları, kabuk komut yürütme geçmişini, SSH anahtarlarını ve diğer ilgili dosyaları içerir; bu, tehdit aktörünün geliştirme ortamlarından hassas bilgileri sifonlama girişimini gösterir.

Kaldırılmadan önce 1.000’den fazla kez indirilmiş olmasına rağmen, paketin aktif bir tedarik zinciri saldırısının parçası olarak silah haline getirilip getirilmediği hemen belli değil.

Bulgular, ReversingLabs’in Yazılım Tedarik Zinciri Güvenliğinin Durumu raporu olarak geliyor kurmak PyPI deposu, 2022’de kötü amaçlı paket yüklemelerinde yaklaşık %60’lık bir düşüşe tanık oldu ve 2021’de 3.685’ten 1.493 pakete düştü.

Aksine, npm JavaScript deposu %40 artışla yaklaşık 7.000’e ulaştı ve bu da onu “kötü niyetli aktörler için en büyük oyun alanı” haline getirdi. Toplamda, 2020’den bu yana hileli paket eğilimleri, npm’de 100 kat ve PyPI’de %18.000’den fazla artış sergiledi.

Zanki, “Kapsamı küçük ve etkisi az olsa da, bu kampanya geliştirme kuruluşlarına yazılım tedarik zinciri tehditlerinin kalıcılığını hatırlatıyor” dedi. “Önceki kötü niyetli kampanyalarda olduğu gibi, bu seferki de denenmiş ve gerçek sosyal mühendislik taktiklerini kullanarak geliştiricilerin kafasını karıştırıp yanıltarak kötü amaçlı bir modül indirmelerini sağlıyor.”



siber-2