Вредоносный пакет PyPI выдавал себя за SDK SentinelOne - «Новости» » Интернет технологии
sitename
Китайцы построили самую мощную в мире центрифугу, чтобы «сжимать» время и пространство - «Новости сети»
Китайцы построили самую мощную в мире центрифугу, чтобы «сжимать» время и пространство - «Новости сети»
 Asus представила геймерские смартфоны ROG Phone 9 и 9 Pro — Snapdragon 8 Elite, разъём для наушников и цена от $1000 - «Новости сети»
Asus представила геймерские смартфоны ROG Phone 9 и 9 Pro — Snapdragon 8 Elite, разъём для наушников и цена от $1000 - «Новости сети»
 Microsoft представила Windows 365 Link — компьютер, на который нельзя установить ни одной программы - «Новости сети»
Microsoft представила Windows 365 Link — компьютер, на который нельзя установить ни одной программы - «Новости сети»
 Вредоносные коммиты с бэкдорами обнаружили на GitHub - «Новости»
Вредоносные коммиты с бэкдорами обнаружили на GitHub - «Новости»
 Критический баг в плагине для WordPress угрожает 4 млн сайтов - «Новости»
Критический баг в плагине для WordPress угрожает 4 млн сайтов - «Новости»
 Данные всех россиян уже утекли в даркнет, заявил глава «Ростелекома» - «Новости сети»
Данные всех россиян уже утекли в даркнет, заявил глава «Ростелекома» - «Новости сети»
 Самым популярным паролем в 2024 году остается «123456» - «Новости»
Самым популярным паролем в 2024 году остается «123456» - «Новости»
 Ботнет эксплуатирует 0-day уязвимость в устройствах GeoVision - «Новости»
Ботнет эксплуатирует 0-day уязвимость в устройствах GeoVision - «Новости»
 Компанию T-Mobile взломали во время недавней атаки на телекомы - «Новости»
Компанию T-Mobile взломали во время недавней атаки на телекомы - «Новости»
 «Что-то мне как-то не по себе»: игроков насторожил 4K-геймплей S.T.A.L.K.E.R. 2: Heart of Chornobyl от Nvidia - «Новости сети»
«Что-то мне как-то не по себе»: игроков насторожил 4K-геймплей S.T.A.L.K.E.R. 2: Heart of Chornobyl от Nvidia - «Новости сети»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » Вредоносный пакет PyPI выдавал себя за SDK SentinelOne - «Новости»

✔Вредоносный пакет PyPI выдавал себя за SDK SentinelOne - «Новости»

21 декабря 2022 577 Новости / Заработок / Преимущества стилей / Самоучитель CSS / Текст / Вёрстка / Изображения 0

Исследователи заметили, что злоумышленники опубликовали в PyPI вредоносный пакет под названием SentinelOne, который выдает себя за настоящий SDK известной одноименной компании. На самом деле эта малварь ворует данные у разработчиков.


Атаку обнаружили эксперты ReversingLabs, которые подтвердили вредоносную функциональность пакета, сообщив о нем специалистами SentinelOne и PyPI (что в итоге привело к удалению подражателя).



Вредоносный пакет PyPI выдавал себя за SDK SentinelOne - «Новости»


Исследователи говорят, что вредоносный пакет SentinelOne был загружен в PyPI 11 декабря 2022 года и с тех пор обновлялся двадцать раз. По сути, пакет представлял собой точную копию настоящего Python-клиента SentinelOne SDK, а злоумышленники лишь внесли некоторые «обновления» для внедрения и улучшения вредоносных функций.





В частности ReversingLabs обнаружила, что фальшивка содержала вредоносный файл api.py, который крадет и передает данные жертв на IP-адрес (54.254.189.27), не относящийся к инфраструктуре SentinelOne.



Код для кражи данных

Вредоносный код действует как классический инфостилер, похищая различные данные из всех домашних каталогов на устройстве. В частности, вредонос нацеливался на историю Bash и Zsh, ключи SSH, файлы .gitconfig, файлы hosts, информацию о конфигурации AWS, информацию о конфигурации Kube и многое другое. Поскольку интересующие малварь папки обычно содержат токены аутентификации, секреты и ключи API, хакеры явно нацеливались на среды разработки для дальнейшего доступа к чужим облачным сервисам и серверам.


По данным экспертов, в период с 8 по 11 декабря 2022 года те же злоумышленники загрузили в PyPI еще пять пакетов с одинаковыми именами. Однако эти пакеты не содержали файлов api.py и, вероятно, использовались для тестирования. Суммарно вредоносные версии пакета SentinelOne, предназначенные для кражи информации, успели загрузить более 1000 раз.


Исследователи заметили, что злоумышленники опубликовали в PyPI вредоносный пакет под названием SentinelOne, который выдает себя за настоящий SDK известной одноименной компании. На самом деле эта малварь ворует данные у разработчиков. Атаку обнаружили эксперты ReversingLabs, которые подтвердили вредоносную функциональность пакета, сообщив о нем специалистами SentinelOne и PyPI (что в итоге привело к удалению подражателя). Исследователи говорят, что вредоносный пакет SentinelOne был загружен в PyPI 11 декабря 2022 года и с тех пор обновлялся двадцать раз. По сути, пакет представлял собой точную копию настоящего Python-клиента SentinelOne SDK, а злоумышленники лишь внесли некоторые «обновления» для внедрения и улучшения вредоносных функций. В частности ReversingLabs обнаружила, что фальшивка содержала вредоносный файл api.py, который крадет и передает данные жертв на IP-адрес (54.254.189.27), не относящийся к инфраструктуре SentinelOne. Код для кражи данных Вредоносный код действует как классический инфостилер, похищая различные данные из всех домашних каталогов на устройстве. В частности, вредонос нацеливался на историю Bash и Zsh, ключи SSH, файлы .gitconfig, файлы hosts, информацию о конфигурации AWS, информацию о конфигурации Kube и многое другое. Поскольку интересующие малварь папки обычно содержат токены аутентификации, секреты и ключи API, хакеры явно нацеливались на среды разработки для дальнейшего доступа к чужим облачным сервисам и серверам. По данным экспертов, в период с 8 по 11 декабря 2022 года те же злоумышленники загрузили в PyPI еще пять пакетов с одинаковыми именами. Однако эти пакеты не содержали файлов api.py и, вероятно, использовались для тестирования. Суммарно вредоносные версии пакета SentinelOne, предназначенные для кражи информации, успели загрузить более 1000 раз.
CSS

Смотрите также
А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация
Войти через: