{"id":362570,"date":"2022-12-21T11:40:40","date_gmt":"2022-12-21T11:40:40","guid":{"rendered":"https:\/\/magazineoffice.com\/hay-otro-paquete-pypl-malicioso-este-roba-datos-de-los-desarrolladores\/"},"modified":"2022-12-21T11:40:42","modified_gmt":"2022-12-21T11:40:42","slug":"hay-otro-paquete-pypl-malicioso-este-roba-datos-de-los-desarrolladores","status":"publish","type":"post","link":"https:\/\/magazineoffice.com\/hay-otro-paquete-pypl-malicioso-este-roba-datos-de-los-desarrolladores\/","title":{"rendered":"Hay otro paquete PyPl malicioso: este roba datos de los desarrolladores"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"article-body\">\n<p>Se han encontrado delincuentes haci\u00e9ndose pasar por una conocida empresa de ciberseguridad en un intento de robar datos de los desarrolladores de software, seg\u00fan han descubierto los investigadores.<\/p>\n<p>Investigadores de ReversingLabs descubrieron recientemente un Python malicioso<span class=\"sr-only\"> (se abre en una pesta\u00f1a nueva)<\/span> paquete en PyPI llamado \u00abSentinelOne\u00bb.  Nombrado en honor a una conocida empresa de seguridad cibern\u00e9tica de los Estados Unidos, el paquete pretende ser un cliente SDK leg\u00edtimo que permite un f\u00e1cil acceso a la API de SentinelOne desde un proyecto separado. <\/p>\n<aside class=\"hawk-nest\" data-render-type=\"fte\" data-skip=\"dealsy\" data-widget-type=\"seasonal\"\/>\n<p>Sin embargo, el paquete tambi\u00e9n contiene archivos \u00abapi.py\u00bb que contienen el c\u00f3digo malicioso y permiten a los actores de amenazas filtrar datos confidenciales de los desarrolladores a una direcci\u00f3n IP de terceros (54.254.189.27).<\/p>\n<h2 id=\"going-after-auth-tokens-and-api-keys\">Perseguir tokens de autenticaci\u00f3n y claves API<\/h2>\n<p>Los datos robados incluyen historiales de Bash y Zsh, claves SSH, archivos .gitconfig, archivos de hosts, informaci\u00f3n de configuraci\u00f3n de AWS, informaci\u00f3n de configuraci\u00f3n de Kube y otros.  Seg\u00fan la publicaci\u00f3n, estas carpetas generalmente almacenan tokens de autenticaci\u00f3n, secretos y claves API, lo que permitir\u00eda a los actores de amenazas un mayor acceso a los servicios en la nube objetivo y los puntos finales del servidor. <\/p>\n<p>La peor parte es que el paquete ofrece la funcionalidad que esperan los desarrolladores.  En realidad, este es un paquete secuestrado, lo que significa que los desarrolladores desprevenidos podr\u00edan terminar us\u00e1ndolo y convertirse en v\u00edctimas por ignorancia.  La buena noticia es que ReversingLabs confirm\u00f3 la intenci\u00f3n maliciosa del paquete y, despu\u00e9s de informarlo tanto a SentinelOne como a PyPI, lo elimin\u00f3 del repositorio.<\/p>\n<p>En los d\u00edas y semanas previos a la eliminaci\u00f3n, los actores maliciosos estuvieron bastante activos.  El paquete se subi\u00f3 por primera vez a PyPI el 11 de diciembre y se ha actualizado 20 veces en menos de 10 d\u00edas. <\/p>\n<p>Uno de los problemas que se solucionaron con una actualizaci\u00f3n fue la incapacidad de extraer datos de los sistemas Linux, encontraron los investigadores.<\/p>\n<p>Es dif\u00edcil decir si alguien cay\u00f3 en la estafa, concluyeron los investigadores, ya que no hay evidencia de que el paquete se haya utilizado en un ataque real.  A\u00fan as\u00ed, todas las versiones publicadas se descargaron m\u00e1s de 1.000 veces. <\/p>\n<p>V\u00eda: BleepingComputer<span class=\"sr-only\"> (se abre en una pesta\u00f1a nueva)<\/span><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/magazineoffice.com\/\">Source link-36<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Se han encontrado delincuentes haci\u00e9ndose pasar por una conocida empresa de ciberseguridad en un intento de robar datos de los desarrolladores de software, seg\u00fan han descubierto los investigadores. Investigadores de&hellip;<\/p>\n","protected":false},"author":1,"featured_media":150721,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[21980],"tags":[121,1783,87,507,8,28862,273,4236,39811,3226],"_links":{"self":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/362570"}],"collection":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/comments?post=362570"}],"version-history":[{"count":1,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/362570\/revisions"}],"predecessor-version":[{"id":362571,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/362570\/revisions\/362571"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/media\/150721"}],"wp:attachment":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/media?parent=362570"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/categories?post=362570"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/tags?post=362570"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}