Araştırmacılar, yazılım geliştiricilerden veri çalmak amacıyla tanınmış bir siber güvenlik firmasını taklit eden suçluların bulunduğunu tespit etti.
ReversingLabs araştırmacıları kısa bir süre önce kötü amaçlı bir Python keşfetti (yeni sekmede açılır) PyPI üzerinde “SentinelOne” adlı paket. Adını Amerika Birleşik Devletleri’ndeki bilinen bir siber güvenlik şirketinden alan paket, meşru bir SDK istemcisi gibi görünerek ayrı bir proje içinden SentinelOne API’sine kolay erişim sağlar.
Ancak paket, kötü amaçlı kodu tutan ve tehdit aktörlerinin geliştiricilerden hassas verileri üçüncü taraf bir IP adresine (54.254.189.27) sızdırmasına izin veren “api.py” dosyalarını da taşır.
Çalınan veriler, Bash ve Zsh geçmişlerini, SSH anahtarlarını, .gitconfig dosyalarını, ana bilgisayar dosyalarını, AWS yapılandırma bilgilerini, Kube yapılandırma bilgilerini ve diğerlerini içerir. Yayına göre, bu klasörler genellikle tehdit aktörlerinin hedef bulut hizmetlerine ve sunucu uç noktalarına daha fazla erişmesini sağlayacak kimlik doğrulama belirteçlerini, sırları ve API anahtarlarını depolar.
En kötü yanı, paketin geliştiricilerin beklediği işlevselliği sunmasıdır. Gerçekte, bu kaçırılmış bir pakettir, yani şüphelenmeyen geliştiriciler sonunda onu kullanabilir ve cehaletin kurbanı olabilir. İyi haber şu ki, ReversingLabs paketin kötü niyetli olduğunu doğruladı ve hem SentinelOne’a hem de PyPI’ye bildirdikten sonra paketi depodan kaldırdı.
Kaldırmaya giden günlerde ve haftalarda kötü niyetli aktörler oldukça aktifti. Paket ilk olarak 11 Aralık’ta PyPI’ye yüklendi ve 10 günden kısa sürede 20 kez güncellendi.
Araştırmacılar, bir güncellemeyle giderilen sorunlardan birinin Linux sistemlerinden veri sızdırılamaması olduğunu buldu.
Araştırmacılar, paketin gerçek bir saldırıda kullanıldığına dair hiçbir kanıt bulunmadığından, birinin dolandırıcılığa kanıp kanmadığını söylemenin zor olduğu sonucuna vardı. Yine de, yayınlanan tüm sürümler 1.000’den fazla kez indirildi.
Yolu ile: BleepingBilgisayar (yeni sekmede açılır)
işletim-sistemi-1