Des criminels ont été découverts en train de se faire passer pour une société de cybersécurité bien connue dans le but de voler des données à des développeurs de logiciels, ont découvert des chercheurs.
Des chercheurs de ReversingLabs ont récemment découvert un Python malveillant (s’ouvre dans un nouvel onglet) package sur PyPI appelé « SentinelOne ». Nommé d’après une société de cybersécurité connue aux États-Unis, le package prétend être un client SDK légitime permettant un accès facile à l’API SentinelOne à partir d’un projet distinct.
Cependant, le package contient également des fichiers « api.py » qui contiennent le code malveillant et permettent aux acteurs de la menace d’exfiltrer les données sensibles des développeurs vers une adresse IP tierce (54.254.189.27).
Aller après les jetons d’authentification et les clés API
Les données volées incluent les historiques Bash et Zsh, les clés SSH, les fichiers .gitconfig, les fichiers hôtes, les informations de configuration AWS, les informations de configuration Kube, etc. Selon la publication, ces dossiers stockent généralement des jetons d’authentification, des secrets et des clés API, ce qui permettrait aux acteurs de la menace d’accéder davantage aux services cloud cibles et aux points de terminaison du serveur.
Le pire, c’est que le package offre les fonctionnalités attendues par les développeurs. En réalité, il s’agit d’un package piraté, ce qui signifie que des développeurs peu méfiants pourraient finir par l’utiliser et devenir des victimes par ignorance. La bonne nouvelle est que ReversingLabs a confirmé l’intention malveillante du paquet et, après l’avoir signalé à SentinelOne et à PyPI, l’a fait supprimer du référentiel.
Dans les jours et les semaines qui ont précédé la suppression, les acteurs malveillants ont été très actifs. Le package a été téléchargé pour la première fois sur PyPI le 11 décembre et a été mis à jour 20 fois en moins de 10 jours.
L’un des problèmes qui ont été résolus avec une mise à jour était l’impossibilité d’exfiltrer les données des systèmes Linux, ont découvert les chercheurs.
Il est difficile de dire si quelqu’un est tombé dans le piège de l’escroquerie, ont conclu les chercheurs, car il n’y a aucune preuve que le paquet ait été utilisé dans une attaque réelle. Pourtant, toutes les versions publiées ont été téléchargées plus de 1 000 fois.
Via : BleepingComputer (s’ouvre dans un nouvel onglet)