Вредоносный пакет PyPI выдавал себя за SDK SentinelOne - «Новости» » Интернет технологии
sitename
Tesla разгромила собственный завод по производству Model S и Model X во Фримонте - «Новости сети»
Tesla разгромила собственный завод по производству Model S и Model X во Фримонте - «Новости сети»
«Уэбб» помог изучить атмосферу планеты, пережившей смерть своей звезды - «Новости сети»
«Уэбб» помог изучить атмосферу планеты, пережившей смерть своей звезды - «Новости сети»
Sony удалось остановить лавину негатива из-за отмены дисков — сработал анонс портов двух старых игр - «Новости сети»
Sony удалось остановить лавину негатива из-за отмены дисков — сработал анонс портов двух старых игр - «Новости сети»
Google представила ИИ-модель для мониторинга здоровья, обученную на триллионе минут данных носимых устройств - «Новости сети»
Google представила ИИ-модель для мониторинга здоровья, обученную на триллионе минут данных носимых устройств - «Новости сети»
У ИИ-модели OpenAI GPT-5.6 Sol нашли такие же уязвимости, как у Fable 5 - «Новости сети»
У ИИ-модели OpenAI GPT-5.6 Sol нашли такие же уязвимости, как у Fable 5 - «Новости сети»
Linux-уязвимость Januscape позволяет атаковать хост из гостевой VM - «Новости»
Linux-уязвимость Januscape позволяет атаковать хост из гостевой VM - «Новости»
Участника группы Scattered Spider отследили через идентификатор установки Windows - «Новости»
Участника группы Scattered Spider отследили через идентификатор установки Windows - «Новости»
Атака TrojPix использует видеокабели для извлечения данных - «Новости»
Атака TrojPix использует видеокабели для извлечения данных - «Новости»
Браузер DuckDuckGo научился блокировать видеорекламу на YouTube - «Новости»
Браузер DuckDuckGo научился блокировать видеорекламу на YouTube - «Новости»
Малварь ChocoPoC распространяется под видом фальшивых эксплоитов - «Новости»
Малварь ChocoPoC распространяется под видом фальшивых эксплоитов - «Новости»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » Вредоносный пакет PyPI выдавал себя за SDK SentinelOne - «Новости»

Исследователи заметили, что злоумышленники опубликовали в PyPI вредоносный пакет под названием SentinelOne, который выдает себя за настоящий SDK известной одноименной компании. На самом деле эта малварь ворует данные у разработчиков.


Атаку обнаружили эксперты ReversingLabs, которые подтвердили вредоносную функциональность пакета, сообщив о нем специалистами SentinelOne и PyPI (что в итоге привело к удалению подражателя).



Вредоносный пакет PyPI выдавал себя за SDK SentinelOne - «Новости»


Исследователи говорят, что вредоносный пакет SentinelOne был загружен в PyPI 11 декабря 2022 года и с тех пор обновлялся двадцать раз. По сути, пакет представлял собой точную копию настоящего Python-клиента SentinelOne SDK, а злоумышленники лишь внесли некоторые «обновления» для внедрения и улучшения вредоносных функций.





В частности ReversingLabs обнаружила, что фальшивка содержала вредоносный файл api.py, который крадет и передает данные жертв на IP-адрес (54.254.189.27), не относящийся к инфраструктуре SentinelOne.



Код для кражи данных

Вредоносный код действует как классический инфостилер, похищая различные данные из всех домашних каталогов на устройстве. В частности, вредонос нацеливался на историю Bash и Zsh, ключи SSH, файлы .gitconfig, файлы hosts, информацию о конфигурации AWS, информацию о конфигурации Kube и многое другое. Поскольку интересующие малварь папки обычно содержат токены аутентификации, секреты и ключи API, хакеры явно нацеливались на среды разработки для дальнейшего доступа к чужим облачным сервисам и серверам.


По данным экспертов, в период с 8 по 11 декабря 2022 года те же злоумышленники загрузили в PyPI еще пять пакетов с одинаковыми именами. Однако эти пакеты не содержали файлов api.py и, вероятно, использовались для тестирования. Суммарно вредоносные версии пакета SentinelOne, предназначенные для кражи информации, успели загрузить более 1000 раз.


Исследователи заметили, что злоумышленники опубликовали в PyPI вредоносный пакет под названием SentinelOne, который выдает себя за настоящий SDK известной одноименной компании. На самом деле эта малварь ворует данные у разработчиков. Атаку обнаружили эксперты ReversingLabs, которые подтвердили вредоносную функциональность пакета, сообщив о нем специалистами SentinelOne и PyPI (что в итоге привело к удалению подражателя). Исследователи говорят, что вредоносный пакет SentinelOne был загружен в PyPI 11 декабря 2022 года и с тех пор обновлялся двадцать раз. По сути, пакет представлял собой точную копию настоящего Python-клиента SentinelOne SDK, а злоумышленники лишь внесли некоторые «обновления» для внедрения и улучшения вредоносных функций. В частности ReversingLabs обнаружила, что фальшивка содержала вредоносный файл api.py, который крадет и передает данные жертв на IP-адрес (54.254.189.27), не относящийся к инфраструктуре SentinelOne. Код для кражи данных Вредоносный код действует как классический инфостилер, похищая различные данные из всех домашних каталогов на устройстве. В частности, вредонос нацеливался на историю Bash и Zsh, ключи SSH, файлы .gitconfig, файлы hosts, информацию о конфигурации AWS, информацию о конфигурации Kube и многое другое. Поскольку интересующие малварь папки обычно содержат токены аутентификации, секреты и ключи API, хакеры явно нацеливались на среды разработки для дальнейшего доступа к чужим облачным сервисам и серверам. По данным экспертов, в период с 8 по 11 декабря 2022 года те же злоумышленники загрузили в PyPI еще пять пакетов с одинаковыми именами. Однако эти пакеты не содержали файлов api.py и, вероятно, использовались для тестирования. Суммарно вредоносные версии пакета SentinelOne, предназначенные для кражи информации, успели загрузить более 1000 раз.
Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.
CSS

Смотрите также

А что там на главной? )))



Комментарии )))



Войти через: