Se han encontrado delincuentes haciéndose pasar por una conocida empresa de ciberseguridad en un intento de robar datos de los desarrolladores de software, según han descubierto los investigadores.
Investigadores de ReversingLabs descubrieron recientemente un Python malicioso (se abre en una pestaña nueva) paquete en PyPI llamado «SentinelOne». Nombrado en honor a una conocida empresa de seguridad cibernética de los Estados Unidos, el paquete pretende ser un cliente SDK legítimo que permite un fácil acceso a la API de SentinelOne desde un proyecto separado.
Sin embargo, el paquete también contiene archivos «api.py» que contienen el código malicioso y permiten a los actores de amenazas filtrar datos confidenciales de los desarrolladores a una dirección IP de terceros (54.254.189.27).
Perseguir tokens de autenticación y claves API
Los datos robados incluyen historiales de Bash y Zsh, claves SSH, archivos .gitconfig, archivos de hosts, información de configuración de AWS, información de configuración de Kube y otros. Según la publicación, estas carpetas generalmente almacenan tokens de autenticación, secretos y claves API, lo que permitiría a los actores de amenazas un mayor acceso a los servicios en la nube objetivo y los puntos finales del servidor.
La peor parte es que el paquete ofrece la funcionalidad que esperan los desarrolladores. En realidad, este es un paquete secuestrado, lo que significa que los desarrolladores desprevenidos podrían terminar usándolo y convertirse en víctimas por ignorancia. La buena noticia es que ReversingLabs confirmó la intención maliciosa del paquete y, después de informarlo tanto a SentinelOne como a PyPI, lo eliminó del repositorio.
En los días y semanas previos a la eliminación, los actores maliciosos estuvieron bastante activos. El paquete se subió por primera vez a PyPI el 11 de diciembre y se ha actualizado 20 veces en menos de 10 días.
Uno de los problemas que se solucionaron con una actualización fue la incapacidad de extraer datos de los sistemas Linux, encontraron los investigadores.
Es difícil decir si alguien cayó en la estafa, concluyeron los investigadores, ya que no hay evidencia de que el paquete se haya utilizado en un ataque real. Aún así, todas las versiones publicadas se descargaron más de 1.000 veces.
Vía: BleepingComputer (se abre en una pestaña nueva)