Вредоносный пакет Python выдает себя за комплект разработки программного обеспечения (SDK) для компании SentinelOne, специализирующейся на безопасности, обнаружили исследователи из ReversingLabs. Пакет SentinelOne не имеет никакого отношения к одноименной фирме по обнаружению угроз и был впервые загружен в PyPI, индекс пакетов Python, 11 декабря 2022 года. С тех пор он обновлялся 20 раз, а последняя версия, 1.2.1, была загружена 13 декабря 2022 года.
По словам исследователя угроз ReversingLabs Карло Занки, пакет выглядит как полнофункциональный клиент SentinelOne, но содержит вредоносный бэкдор. Вредоносная функциональность библиотеки не запускается при установке, а ждет программного вызова перед активацией - возможная попытка избежать обнаружения. ReversingLabs называет эту кампанию "SentinelSneak".
Пакет-самозванец SentinelOne является последней угрозой, использующей репозиторий PyPI, и подчеркивает растущую угрозу цепочкам поставок программного обеспечения, поскольку злоумышленники используют такие стратегии, как "typosquatting", чтобы использовать замешательство разработчиков и внедрить вредоносный код в конвейеры разработки и легитимные приложения.
Indicators of Compromise
IPv4
- 54.254.189.27
SSL Certificate SHA-1
- 2a12e17eff9a485f03dc707a6be76ecb23aded7e
SHA1
- 085b0b8974a8d93998a2dafb1335306b676274eb
- 0b25161aa8a4e0ea3be8ad8870409e4c93941086
- 12ea7268665ea0e2688a47278c6b24ea6f907535
- 1378d35524804d2f0e42fc1e8e6365211713731f
- 19a6b849d6bcb7a8dbbbde2158923135c0ee647c
- 1a16d6cacd5cd19b143d88f6f93cb15b535e8f15
- 1a891771806974ec18111a6c69b6d5bb92d6298d
- 1dca0855dd4175dadbe2f9917ad4e1ab176c8052
- 1ee6eace8ccf865fc4ddb67d895833ad664f7a5b
- 268546ab1aedee336151933159f056c45844ef4c
- 2ee8cec7f388873ad50c6108e16225b344035e4c
- 37407dbd8f41a896ce8c68bc2eb5a7041e9fe47d
- 3859aa3ddc941be0d8459b90244f7cb0f48da1be
- 3bd886c69d380745a2db2a2da3b8d9adbff4627e
- 3c4d2e0f3125817c10ae4aa4a29a8ddcedbe3065
- 3eaa0ced4d19742c35bc3d9a99636e5333ceb573
- 3f62cd17186dd821495080b7fed822ad271b9a24
- 43d2dbe829300587d5672c9209c39233a0d1ff8d
- 48fda8ccdf50e7c210c3cffe1af3572b1962bd68
- 508a81ffe18fd608fddcb73ea2aba4a83c1a8fc3
- 52bf75dc7db3db210eea58bcea31d6cf7964a5d1
- 557af28f0a42d4fb7466376ce422bcb518e7ccc0
- 596659f434ef78a4f7433c59d3efa79d50fa3de2
- 5ac10152a5db8b5f3ca827616a526314ad9b8983
- 5d843c53ef47ef89a1ab4a8d2e58bb9c2ae6bf34
- 661450bd7934ae7a138a040d9d27b086414237d3
- 68b09896b65db21d2c6cd2923d2486a2f69f73ef
- 7298b2bbf8558259ed8a5f2a286e1c2607e85bd5
- 761cfd2c1c38477ff27291b841f27c345622d58f
- 8d02c52b03b034774bfb6767d53569035aa6398b
- 94f6ba66169f54975771d6201bd8a40a65ffee16
- 9673c811de0ab875b542eaabfed121100f3ffad9
- 9ba06781f172dd8a0bfd333c6f18ea7b15af3d85
- 9e0373a8e50a1a87a552cd25cfdad51322b00719
- a219cec2f4a3ea2c2a707925473ebe68b620e75c
- adc917741164cc59da629cc4fd44f9f46ec06a2d
- b3a35866f23496cf52b8c7ad609f64b39003a386
- b4a490e54f9ed0f584de48dad80cc35217fa528d
- bc890c4578ba52a27902c4b6e2bfe0c18ca84a2d
- c5af9a6308e4720a451f79124ee238ce8e021087
- ca3aecd84b5b82ee0dac98223111bf300fec6441
- d394756d77d2cd85fce527c3cd3c1e4c7ebdd1fb
- d932be913409595ecc1d94e644c5050f5d5ce5a3
- de2a6dfbed323e0109ce02737df1d9ce5de38561
- e4f6c8886de708a4c16e88e3ebf17f60adfacbad
- ed5433e5c3b836ee9a4f9f3dde6c8b4e703eca0e
- f8438699804645ebc7cc573cc1326050814b02e4