Есть еще один вредоносный пакет PyPl — он крадет данные у разработчиков
вычисления techradar.com Новости

Есть еще один вредоносный пакет PyPl — он крадет данные у разработчиков

21 декабря 2022 г.

Исследователи обнаружили, что преступники выдавали себя за известную фирму, занимающуюся кибербезопасностью, и пытались украсть данные у разработчиков программного обеспечения.

Исследователи из ReversingLabs недавно обнаружили вредоносный Python на PyPI под названием «SentinelOne». Названный в честь известной компании по кибербезопасности из США, пакет выдает себя за законного клиента SDK, обеспечивающего легкий доступ к SentinelOne API из отдельного проекта.

Однако пакет также содержит файлы «api.py», которые содержат вредоносный код и позволяют злоумышленникам передавать конфиденциальные данные от разработчиков на сторонний IP-адрес (54.254.189.27).

Поиск токенов аутентификации и ключей API

Украденные данные включают истории Bash и Zsh, ключи SSH, файлы .gitconfig, файлы hosts, информацию о конфигурации AWS, информацию о конфигурации Kube и другие. Согласно публикации, в этих папках обычно хранятся токены аутентификации, секреты и ключи API, которые позволяют злоумышленникам получить дополнительный доступ к целевым облачным службам и конечным точкам сервера.

Хуже всего то, что пакет предлагает функции, ожидаемые разработчиками. На самом деле это украденный пакет, а это означает, что ничего не подозревающие разработчики могут в конечном итоге использовать его и стать жертвами по незнанию. Хорошая новость заключается в том, что ReversingLabs подтвердила злонамеренность пакета и, сообщив об этом SentinelOne и PyPI, удалила его из репозитория.

Подробнее

> Это лучшие инструменты защиты конечных точек на данный момент< бр>
> Вредоносные пакеты PyPi превращают Discord в вредоносное ПО для кражи паролей

> Это случайное изображение распространяет вредоносный пакет PyPl с помощью GitHub

В дни и недели, предшествовавшие удалению, злоумышленники были весьма активны. Пакет был впервые загружен в PyPI 11 декабря и обновлялся 20 раз менее чем за 10 дней.

Исследователи обнаружили, что одной из проблем, которые были устранены с помощью обновления, была невозможность эксфильтрации данных из систем Linux.

Трудно сказать, попался ли кто-нибудь на удочку, исследователи пришли к выводу, что нет никаких доказательств того, что пакет использовался в реальной атаке. Тем не менее, все опубликованные версии были скачаны более 1000 раз.

.

Через: BleepingComputer

Оригинал

Recent Post

Categories

PREVIOUS ARTICLE
NEXT ARTICLE