网络安全研究人员在 Python 包索引 (PyPI) 存储库中发现了一个新的恶意包,它冒充了大型网络安全公司 SentinelOne 的软件开发工具包 (SDK),这是名为SentinelSneak的活动的一部分。
该软件包名为SentinelOne,现已下架,据说是在 2022 年 12 月 8 日至 11 日期间发布的,在两天的时间内快速连续推送了近二十几个版本。
它声称提供了一种更简单的方法来访问公司的 API,但隐藏了一个恶意后门,该后门旨在从开发系统中收集敏感信息,包括访问凭证、SSH 密钥和配置数据。
更重要的是,还观察到威胁参与者发布了另外两个具有相似命名变体的软件包——SentinelOne-sdk和SentinelOneSDK——突显了开源存储库中潜伏的持续威胁。
“SentinelOne 冒名顶替程序包只是利用 PyPI 存储库的最新威胁,并突显出软件供应链面临的威胁越来越大,因为恶意行为者使用“域名仿冒”等策略来利用开发人员的混淆并将恶意代码推送到开发管道和合法应用程序中,” ReversingLabs 威胁研究员 Karlo Zanki在与黑客新闻分享的一份报告中说。
这个欺诈包值得注意的是它模仿了SentinelOne 向其客户提供的合法 SDK ,可能会诱骗开发人员从 PyPI 下载模块。
这家软件供应链安全公司指出,SDK 客户端代码可能“很可能是通过合法客户帐户从该公司获得的”。
恶意软件泄露到远程服务器的一些数据包括 shell 命令执行历史、SSH 密钥和其他感兴趣的文件,表明威胁参与者试图从开发环境中窃取敏感信息。
目前尚不清楚该软件包是否被武器化为主动供应链攻击的一部分,尽管在删除之前它已经被下载了 1,000 多次。
调查结果发布之际,ReversingLabs 的软件供应链安全状况报告发现,PyPI 存储库的恶意包上传量在 2022 年减少了近 60%,从 2021 年的 3,685 个减少到 1,493 个。
相反,npm JavaScript 存储库增加了 40%,达到近 7,000 个,成为“恶意行为者的最大游乐场”。总而言之,自 2020 年以来的流氓包趋势显示,npm 增长了 100 倍,PyPI 增长了 18,000% 以上。
“虽然范围小且影响不大,但这一活动提醒开发组织软件供应链威胁的持续存在,”Zanki 说。“与之前的恶意活动一样,这次活动采用了久经考验的真实社会工程策略,以混淆和误导开发人员下载恶意模块。”
