Investigadores de ciberseguridad han descubierto un nuevo paquete malicioso en el repositorio Python Package Index (PyPI) que se hace pasar por un kit de desarrollo de software (SDK) para SentinelOne una importante empresa de ciberseguridad como parte de una campaña denominada SentinelSneak .
Se dice que el paquete llamado SentinelOne y ahora eliminado se publicó entre el 8 y el 11 de diciembre de 2022 con casi dos docenas de versiones lanzadas en rápida sucesión durante un período de dos días.
Afirma ofrecer un método más fácil para acceder a las API de la empresa pero alberga una puerta trasera maliciosa que está diseñada para acumular información confidencial de los sistemas de desarrollo incluidas las credenciales de acceso las claves SSH y los datos de configuración.
Además, también se ha observado que el actor de amenazas lanzó dos paquetes más con variaciones de nombres similares: SentinelOne-sdk y SentinelOneSDK lo que subraya las continuas amenazas que acechan en los repositorios de código abierto.
“El paquete impostor SentinelOne es solo la última amenaza para aprovechar el repositorio PyPI y subraya la creciente amenaza para las cadenas de suministro de software, ya que los actores malintencionados utilizan estrategias como ‘typosquatting’ para explotar la confusión de los desarrolladores e introducir código malicioso en las canalizaciones de desarrollo y aplicaciones legítimas”. Karlo Zanki investigador de amenazas de ReversingLabs, dijo en un informe.
Lo notable del paquete fraudulento es que imita un SDK legítimo que SentinelOne ofrece a sus clientes lo que podría engañar a los desarrolladores para que descarguen el módulo de PyPI.
La empresa de seguridad de la cadena de suministro de software señaló que el código de cliente SDK “probablemente se obtuvo de la empresa a través de una cuenta de cliente legítima”.
Algunos de los datos extraídos por el malware a un servidor remoto incluyen el historial de ejecución de comandos de shell, claves SSH y otros archivos de interés lo que indica un intento por parte del actor de amenazas de desviar información confidencial de los entornos de desarrollo.
No está claro de inmediato si el paquete fue armado como parte de un ataque activo a la cadena de suministro, aunque se descargó más de 1000 veces antes de su eliminación.
Los hallazgos se producen cuando el informe Estado de seguridad de la cadena de suministro de software de ReversingLabs encontró que el repositorio PyPI ha sido testigo de una disminución de casi el 60% en las cargas de paquetes maliciosos en 2022 cayendo a 1493 paquetes desde 3685 en 2021.
Por el contrario el repositorio de JavaScript de npm experimentó un aumento del 40 % a casi 7000 lo que lo convierte en el “mayor patio de recreo para los actores malintencionados”. En total las tendencias de paquetes maliciosos desde 2020 han mostrado un aumento de 100 veces en npm y más del 18 000 % en PyPI.
“Aunque de alcance pequeño y de escaso impacto esta campaña es un recordatorio para las organizaciones de desarrollo de la persistencia de las amenazas a la cadena de suministro de software”, dijo Zanki. “Al igual que con campañas maliciosas anteriores, esta juega con tácticas de ingeniería social probadas y verdaderas para confundir y engañar a los desarrolladores para que descarguen un módulo malicioso”.
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
