ReversingLabs พบการเผยแพร่แพ็คเกจ Python ที่เป็นอันตรายบน PyPI ในชื่อ SentinelOne SDK ที่น่าเชื่อถือจากบริษัทรักษาความปลอดภัยทางไซเบอร์ของอเมริกา โดยมีเป้าหมายคือการขโมยข้อมูลจากนักพัฒนาที่ดาวน์โหลดแพ็คเกจ
โดยที่ SentinelOne เป็นบริษัทซอฟต์แวร์การรักษาความปลอดภัยทางไซเบอร์ที่มีชื่อเสียงทางด้าน Endpoint detection and response (EDR)
โดย Hacker เขียนอธิบายใน SentinelOne SDK package ที่เผยแพร่เอาไว้ว่าเป็นแพ็คเกจ Python ที่รวบรวมฟังก์ชัน SentinelOne API ไว้อย่างครบถ้วน
แต่จากการตรวจสอบแพ็คเกจ Python นี้ พบว่าเป็นสำเนาของ SentinelOne SDK จริง เนื่องจากมี auth tokens, secrets และ API keys ที่ถูกต้อง แต่ไฟล์ถูกดัดแปลงด้วยการฝังโทรจันเอาไว้ รวมไปถึงโค้ดที่เป็นอันตรายเพื่อทำการเก็บรวบรวมข้อมูล และส่งข้อมูลกลับไปยัง Hacker เช่น ข้อมูลประวัติ Bash/ Zsh, SSH keys, ไฟล์ .gitconfig, ไฟล์ hosts, ข้อมูลค่า AWS configuration, ข้อมูลค่า Kube configuration และอื่น ๆ โดยคาดว่าเป็นการโจมตีที่มุ่งเป้าหมายไปยังบริการคลาวด์ และเซิร์ฟเวอร์ของนักพัฒนา รวมไปถึงมัลแวร์ดังกล่าวยังสามารถเก็บรวบรวมข้อมูลในระบบปฏิบัติการ Linux ได้อีกด้วย
ReversingLabs ยังพบว่า มีอีก 5 แพ็คเกจที่ชื่อคล้ายกัน และถูกอัปโหลดโดยผู้เผยแพร่คนเดียวกัน ระหว่างวันที่ 8 ถึง 11 ธันวาคม 2022 ซึ่งแพ็คเกจเหล่านี้ไม่มีไฟล์ api.py จึงน่าจะใช้สำหรับการทดสอบ โดยแพ็คเกจทั้งหมดมีการดาวน์โหลดไปแล้วมากกว่า 1,000 ครั้งบน PyPI
ขณะนี้ทาง ReversingLabs ได้แจ้งไปยัง SentinelOne และ PyPi เพื่อลบ แพ็คเกจ Python ดังกล่าวเรียบร้อยแล้ว
วิธีป้องกัน
- ตรวจสอบแหล่งที่มาและความน่าเชื่อถือของ SDK และแพ็คเกจ Python ทุกครั้งก่อนนำมาใช้งาน
ที่มา : bleepingcomputer
You must be logged in to post a comment.