研究人员发现恶意PyPI包冒充SentinelOne SDK窃取数据

网络安全研究人员在Python软件包索引（PyPI）存储库中发现了一个新的恶意软件包，该软件包冒充主要网络安全公司SentinelOne的软件开发工具包（SDK），这是一项名为哨兵蛇.

该软件包名为SentinelOne，现已被拆除，据称已于2022年12月8日至11日发布，在两天内陆续推出了近20个版本。

它声称提供了一种更容易访问公司API的方法，但隐藏了一个恶意后门，该后门旨在从开发系统收集敏感信息，包括访问凭据、SSH密钥和配置数据。

此外，还观察到威胁扮演者发布了另外两个具有类似命名变体的软件包；SentinelOne sdk和SentinelOneSDK–；强调了开源存储库中潜在的持续威胁。

ReversingLabs威胁研究人员Karlo Zanki在与The黑客新闻。

欺诈包值得注意的是，它模仿了SentinelOne向其客户提供的合法SDK，可能会诱使开发人员从PyPI下载模块。

该软件供应链安全公司指出，SDK客户端代码可能是“通过合法的客户帐户从该公司获得的”

恶意软件过滤到远程服务器的一些数据包括shell命令执行历史、SSH密钥和其他感兴趣的文件，表明威胁行为者试图从开发环境中获取敏感信息。

目前尚不清楚该软件包是否作为主动供应链攻击的一部分而被武器化，尽管在其被移除之前，该软件包已经被下载了1000多次。

当记者联系到SentinelOne发表评论时，SentinelOne告诉《黑客新闻》，它“与最近利用我们名字的恶意Python软件包无关”，而且威胁参与者的尝试并不成功。

该公司表示：“攻击者会在他们的活动中添加他们认为可能有助于他们欺骗目标的任何名称，但这个包在任何方面都不属于SentinelOne。”。“我们的客户是安全的，我们没有看到任何因此次活动而妥协的证据，PyPI已经取消了该套餐。”

ReversingLabs的软件供应链安全状态报告发现，2022年，PyPI存储库的恶意软件包上传量减少了近60%，从2021的3685个降至1493个。

相反，npm JavaScript存储库增长了40%，达到近7000个，成为“恶意行为者的最大游乐场”。总之，自2020年以来，流氓包趋势的npm增长了100倍，PyPI增长了18000%以上。

赞基说：“虽然规模小，影响小，但这场运动提醒开发组织软件供应链威胁的持续存在。”。“与之前的恶意活动一样，这场活动采用了久经考验的真实社会工程策略，以迷惑和误导开发人员下载恶意模块。”