SentinelSneak PyPI IOCs

security IOC
Опубликовано

Вредоносный пакет Python выдает себя за комплект разработки программного обеспечения (SDK) для компании SentinelOne, специализирующейся на безопасности, обнаружили исследователи из ReversingLabs. Пакет SentinelOne не имеет никакого отношения к одноименной фирме по обнаружению угроз и был впервые загружен в PyPI, индекс пакетов Python, 11 декабря 2022 года. С тех пор он обновлялся 20 раз, а последняя версия, 1.2.1, была загружена 13 декабря 2022 года.


По словам исследователя угроз ReversingLabs Карло Занки, пакет выглядит как полнофункциональный клиент SentinelOne, но содержит вредоносный бэкдор. Вредоносная функциональность библиотеки не запускается при установке, а ждет программного вызова перед активацией - возможная попытка избежать обнаружения. ReversingLabs называет эту кампанию "SentinelSneak".

Пакет-самозванец SentinelOne является последней угрозой, использующей репозиторий PyPI, и подчеркивает растущую угрозу цепочкам поставок программного обеспечения, поскольку злоумышленники используют такие стратегии, как "typosquatting", чтобы использовать замешательство разработчиков и внедрить вредоносный код в конвейеры разработки и легитимные приложения.

Indicators of Compromise

IPv4

  • 54.254.189.27

SSL Certificate SHA-1

  • 2a12e17eff9a485f03dc707a6be76ecb23aded7e

SHA1

  • 085b0b8974a8d93998a2dafb1335306b676274eb
  • 0b25161aa8a4e0ea3be8ad8870409e4c93941086
  • 12ea7268665ea0e2688a47278c6b24ea6f907535
  • 1378d35524804d2f0e42fc1e8e6365211713731f
  • 19a6b849d6bcb7a8dbbbde2158923135c0ee647c
  • 1a16d6cacd5cd19b143d88f6f93cb15b535e8f15
  • 1a891771806974ec18111a6c69b6d5bb92d6298d
  • 1dca0855dd4175dadbe2f9917ad4e1ab176c8052
  • 1ee6eace8ccf865fc4ddb67d895833ad664f7a5b
  • 268546ab1aedee336151933159f056c45844ef4c
  • 2ee8cec7f388873ad50c6108e16225b344035e4c
  • 37407dbd8f41a896ce8c68bc2eb5a7041e9fe47d
  • 3859aa3ddc941be0d8459b90244f7cb0f48da1be
  • 3bd886c69d380745a2db2a2da3b8d9adbff4627e
  • 3c4d2e0f3125817c10ae4aa4a29a8ddcedbe3065
  • 3eaa0ced4d19742c35bc3d9a99636e5333ceb573
  • 3f62cd17186dd821495080b7fed822ad271b9a24
  • 43d2dbe829300587d5672c9209c39233a0d1ff8d
  • 48fda8ccdf50e7c210c3cffe1af3572b1962bd68
  • 508a81ffe18fd608fddcb73ea2aba4a83c1a8fc3
  • 52bf75dc7db3db210eea58bcea31d6cf7964a5d1
  • 557af28f0a42d4fb7466376ce422bcb518e7ccc0
  • 596659f434ef78a4f7433c59d3efa79d50fa3de2
  • 5ac10152a5db8b5f3ca827616a526314ad9b8983
  • 5d843c53ef47ef89a1ab4a8d2e58bb9c2ae6bf34
  • 661450bd7934ae7a138a040d9d27b086414237d3
  • 68b09896b65db21d2c6cd2923d2486a2f69f73ef
  • 7298b2bbf8558259ed8a5f2a286e1c2607e85bd5
  • 761cfd2c1c38477ff27291b841f27c345622d58f
  • 8d02c52b03b034774bfb6767d53569035aa6398b
  • 94f6ba66169f54975771d6201bd8a40a65ffee16
  • 9673c811de0ab875b542eaabfed121100f3ffad9
  • 9ba06781f172dd8a0bfd333c6f18ea7b15af3d85
  • 9e0373a8e50a1a87a552cd25cfdad51322b00719
  • a219cec2f4a3ea2c2a707925473ebe68b620e75c
  • adc917741164cc59da629cc4fd44f9f46ec06a2d
  • b3a35866f23496cf52b8c7ad609f64b39003a386
  • b4a490e54f9ed0f584de48dad80cc35217fa528d
  • bc890c4578ba52a27902c4b6e2bfe0c18ca84a2d
  • c5af9a6308e4720a451f79124ee238ce8e021087
  • ca3aecd84b5b82ee0dac98223111bf300fec6441
  • d394756d77d2cd85fce527c3cd3c1e4c7ebdd1fb
  • d932be913409595ecc1d94e644c5050f5d5ce5a3
  • de2a6dfbed323e0109ce02737df1d9ce5de38561
  • e4f6c8886de708a4c16e88e3ebf17f60adfacbad
  • ed5433e5c3b836ee9a4f9f3dde6c8b4e703eca0e
  • f8438699804645ebc7cc573cc1326050814b02e4
Похожие записи:
  1. AstraLocker Ransomware IOCs
  2. IconBurst IOCs
  3. GwisinLocker Ransomware IOCs
  4. Follina Attacks IOCs
  5. Пакет PyPI 'secretslib' содержит вредоносное ПО для Linux без файлов для добычи Monero
Python ReversingLabs SentinelSneak
Добавить комментарий