恶意PyPi模块冒充SentinelOne SDK进行供应链攻击

重点概述

• 最近发现一个伪装成SentinelOne软件开发工具包的恶意PyPi包。
• 该恶意模块被用于新的供应链攻击，旨在分发数据盗窃后门代码。
• 研究人员指出，恶意代码嵌入了两个api.py文件中，主要目标是提取敏感的shell命令执行历史和SSH文件夹内容。
• 一些文件也被列入根目录，由恶意软件将收集到的信息发送到攻击者的指挥控制服务器。

根据的报道，一个恶意的伪装成SentinelOne软件开发工具包，正在被利用进行新的供应链攻击，目的是为了分发一个用于数据盗窃的后门代码。ReversingLabs的研究人员发现，仅在两个api.py文件中就嵌入了恶意代码，后门旨在提取shell命令执行历史以及SSH文件夹的内容，包括SSH密钥和配置数据，如AWS、Git和Kubernetes凭证。

恶意活动 | 描述
—|—
提取数据 | 提取shell命令执行历史和SSH文件夹内容
列出目录 | 恶意软件列出根目录的文件夹
数据传输 | 将收集到的信息发送到攻击者的命令控制服务器

ReversingLabs指出：“这些恶意代码似乎是为了从开发环境中抽取敏感信息。根据我们对恶意软件及其相关指挥控制基础设施的分析，目前尚不清楚该包是否已经在积极的攻击中被使用，因为没有找到相关证据。然而，下载统计数据显示，该包已经被下载超过1000次。”