Вредоносный пакет PyPI выдавал себя за SDK SentinelOne - «Новости» » Интернет технологии
sitename
Форензик-инструмент Velociraptor применяется для развертывания вымогателей LockBit и Babuk - «Новости»
Форензик-инструмент Velociraptor применяется для развертывания вымогателей LockBit и Babuk - «Новости»
ФБР закрыло очередную версию BreachForums - «Новости»
ФБР закрыло очередную версию BreachForums - «Новости»
Xakep.ru снова доступен в Казахстане! - «Новости»
Xakep.ru снова доступен в Казахстане! - «Новости»
Apple предлагает до 2 млн долларов за уязвимости в своих продуктах - «Новости»
Apple предлагает до 2 млн долларов за уязвимости в своих продуктах - «Новости»
Microsoft предупреждает о хак-группе, которая ворует зарплаты сотрудников вузов - «Новости»
Microsoft предупреждает о хак-группе, которая ворует зарплаты сотрудников вузов - «Новости»
Арест за арестом: причиной возгорания в правительственном ЦОД Южной Кореи могло стать не отключенное вовремя резервное питание - «Новости сети»
Арест за арестом: причиной возгорания в правительственном ЦОД Южной Кореи могло стать не отключенное вовремя резервное питание - «Новости сети»
Вложи $5 млн — получи $75 млн: NVIDIA похвасталась новыми рекордами в комплексном бенчмарке InferenceMAX v1 - «Новости сети»
Вложи $5 млн — получи $75 млн: NVIDIA похвасталась новыми рекордами в комплексном бенчмарке InferenceMAX v1 - «Новости сети»
Тайвань заявил, что не зависит от китайских редкоземельных металлов - «Новости сети»
Тайвань заявил, что не зависит от китайских редкоземельных металлов - «Новости сети»
Apple планирует представить на этой неделе три новых продукта - «Новости сети»
Apple планирует представить на этой неделе три новых продукта - «Новости сети»
Пользователи ChatGPT снова могут удалять свои чаты безвозвратно - «Новости сети»
Пользователи ChatGPT снова могут удалять свои чаты безвозвратно - «Новости сети»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » Вредоносный пакет PyPI выдавал себя за SDK SentinelOne - «Новости»

Исследователи заметили, что злоумышленники опубликовали в PyPI вредоносный пакет под названием SentinelOne, который выдает себя за настоящий SDK известной одноименной компании. На самом деле эта малварь ворует данные у разработчиков.


Атаку обнаружили эксперты ReversingLabs, которые подтвердили вредоносную функциональность пакета, сообщив о нем специалистами SentinelOne и PyPI (что в итоге привело к удалению подражателя).



Вредоносный пакет PyPI выдавал себя за SDK SentinelOne - «Новости»


Исследователи говорят, что вредоносный пакет SentinelOne был загружен в PyPI 11 декабря 2022 года и с тех пор обновлялся двадцать раз. По сути, пакет представлял собой точную копию настоящего Python-клиента SentinelOne SDK, а злоумышленники лишь внесли некоторые «обновления» для внедрения и улучшения вредоносных функций.





В частности ReversingLabs обнаружила, что фальшивка содержала вредоносный файл api.py, который крадет и передает данные жертв на IP-адрес (54.254.189.27), не относящийся к инфраструктуре SentinelOne.



Код для кражи данных

Вредоносный код действует как классический инфостилер, похищая различные данные из всех домашних каталогов на устройстве. В частности, вредонос нацеливался на историю Bash и Zsh, ключи SSH, файлы .gitconfig, файлы hosts, информацию о конфигурации AWS, информацию о конфигурации Kube и многое другое. Поскольку интересующие малварь папки обычно содержат токены аутентификации, секреты и ключи API, хакеры явно нацеливались на среды разработки для дальнейшего доступа к чужим облачным сервисам и серверам.


По данным экспертов, в период с 8 по 11 декабря 2022 года те же злоумышленники загрузили в PyPI еще пять пакетов с одинаковыми именами. Однако эти пакеты не содержали файлов api.py и, вероятно, использовались для тестирования. Суммарно вредоносные версии пакета SentinelOne, предназначенные для кражи информации, успели загрузить более 1000 раз.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

Исследователи заметили, что злоумышленники опубликовали в PyPI вредоносный пакет под названием SentinelOne, который выдает себя за настоящий SDK известной одноименной компании. На самом деле эта малварь ворует данные у разработчиков. Атаку обнаружили эксперты ReversingLabs, которые подтвердили вредоносную функциональность пакета, сообщив о нем специалистами SentinelOne и PyPI (что в итоге привело к удалению подражателя). Исследователи говорят, что вредоносный пакет SentinelOne был загружен в PyPI 11 декабря 2022 года и с тех пор обновлялся двадцать раз. По сути, пакет представлял собой точную копию настоящего Python-клиента SentinelOne SDK, а злоумышленники лишь внесли некоторые «обновления» для внедрения и улучшения вредоносных функций. В частности ReversingLabs обнаружила, что фальшивка содержала вредоносный файл api.py, который крадет и передает данные жертв на IP-адрес (54.254.189.27), не относящийся к инфраструктуре SentinelOne. Код для кражи данных Вредоносный код действует как классический инфостилер, похищая различные данные из всех домашних каталогов на устройстве. В частности, вредонос нацеливался на историю Bash и Zsh, ключи SSH, файлы .gitconfig, файлы hosts, информацию о конфигурации AWS, информацию о конфигурации Kube и многое другое. Поскольку интересующие малварь папки обычно содержат токены аутентификации, секреты и ключи API, хакеры явно нацеливались на среды разработки для дальнейшего доступа к чужим облачным сервисам и серверам. По данным экспертов, в период с 8 по 11 декабря 2022 года те же злоумышленники загрузили в PyPI еще пять пакетов с одинаковыми именами. Однако эти пакеты не содержали файлов api.py и, вероятно, использовались для тестирования. Суммарно вредоносные версии пакета SentinelOne, предназначенные для кражи информации, успели загрузить более 1000 раз.
CSS

Смотрите также


А что там на главной? )))



Комментарии )))



Войти через: