Des criminels ont été surpris en se faisant passer pour une entreprise de cybersécurité bien connue dans le but de voler des données aux développeurs de logiciels, ont découvert des chercheurs.
Les chercheurs de ReversingLabs ont récemment découvert un package Python malveillant (s'ouvre dans un nouvel onglet) dans PyPI appelé « SentinelOne ». Nommé d'après une société de cybersécurité bien connue aux États-Unis, le package prétend être un SDK client légitime qui permet un accès facile à l'API SentinelOne à partir d'un projet distinct.
Cependant, le package contient également des fichiers « api.py » qui contiennent le code malveillant et permettent aux acteurs malveillants de divulguer des données sensibles de développeur vers une adresse IP tierce (54.254.189.27).
Recherchez les jetons d’authentification et les clés API
Les données volées incluent les historiques Bash et Zsh, les clés SSH, les fichiers .gitconfig, les fichiers hôtes, les informations de configuration AWS, les informations de configuration Kube, etc. Selon l'article, ces dossiers stockent généralement des jetons d'authentification, des secrets et des clés API, ce qui permettrait aux acteurs malveillants d'obtenir un meilleur accès aux services cloud cibles et aux points de terminaison des serveurs.
Le pire, c'est que le package offre les fonctionnalités attendues par les développeurs. Il s’agit en fait d’un package piraté, ce qui signifie que des développeurs peu méfiants pourraient finir par l’utiliser et devenir victimes par ignorance. La bonne nouvelle est que ReversingLabs a confirmé l'intention malveillante du package et, après l'avoir signalé à SentinelOne et PyPI, l'a supprimé du référentiel.
Dans les jours et les semaines qui ont précédé la suppression, les acteurs malveillants étaient très actifs. Le package a été téléchargé pour la première fois sur PyPI le 11 décembre et a été mis à jour 20 fois en moins de 10 jours.
L'un des problèmes résolus avec une mise à jour était l'incapacité d'extraire les données des systèmes Linux, ont découvert les chercheurs.
Il est difficile de savoir si quelqu'un a été victime de l'arnaque, ont conclu les chercheurs, car il n'existe aucune preuve que le package ait été utilisé dans une véritable attaque. Cependant, toutes les versions publiées ont été téléchargées plus de 1000 XNUMX fois.
Via : BleepingComputer (Ouvre dans un nouvel onglet)