Bösartiger Pythonschlange-Trojanisches Pferd gibt sich denn SentinelOne Security Client aus

Zusammen mit dem jüngsten Übergriff aufwärts die Logistische Kette hat ein unbekannter Angreifer ein bösartiges Pythonschlange-Päckchen erstellt, dies wahrscheinlich ein Software Development Kit (SDK) für jedes vereinigen bekannten Sicherheitsclient von SentinelOne ist.

Laut einer am Montag veröffentlichten Zeugnis dieser Cybersicherheitsfirma ReversingLabs scheint dies Päckchen mit dem Namen SentinelSneak ein „voll funktionsfähiger SentinelOne-Client“ zu sein und befindet sich derzeit in dieser Fortgang mit häufigen Updates, die im Pythonschlange Package Klassifikation (PyPI), dem Hauptrepository für jedes, erscheinen Pythonschlange-Identifizierungszeichen.

SentinelSneak unternimmt keine böswilligen Aktionen, wenn es installiert ist, sondern wartet darauf, dass seine Unterprogramm von einem anderen Sendung aufgerufen wird, stellten die Forscher starr. Somit unterstreicht dieser Übergriff den Kern dieser Angreifer aufwärts die Software-Logistische Kette, um kompromittierten Identifizierungszeichen denn Brückenkopf für jedes weitere Angriffe in Zielsysteme einzuschleusen. Bisher sind jene weiteren Angriffe wahrscheinlich nicht erfolgt, sagten Forscher.

„Ein flüchtiger Blick aufwärts die Quelle dieses Pakets hätte leichtgewichtig die schädliche Systemfunktionalität verschlafen, die in den ferner legitimen SDK-Identifizierungszeichen eingeschleust wurde“, sagt Tomislav Pericin, Chief Software Architect nebst ReversingLabs.

Dieser Übergriff zeigt zweitrangig eine gängige Methode, um die Logistische Kette anzugreifen: Verwenden Sie eine Variante des Typosquattings, um schädliche Pakete zu erstellen, die ähnliche Namen wie bekannte Open-Source-Komponenten tragen. Die oft denn Abhängigkeitsverwirrung bezeichnete Technologie ist ein Denkmuster für jedes eine Technologie, die gegen dies Node Package Manager (npm)-Umwelt für jedes JavaScript-Programme nebst einem Übergriff namens „IconBurst“ eingesetzt wird, so eine im Juli veröffentlichte Studie.

Zusammen mit einem weiteren Typosquatting-Übergriff hat eine Bedrohungsgruppe mindestens 29 Klone beliebter Softwarepakete aufwärts PyPI hochgeladen.

„Dasjenige SentinelOne-Imposter-Päckchen ist nur die neueste Gefahr, um dies PyPI-Repository zu nutzen, und unterstreicht die wachsende Gefahr für jedes Softwarelieferketten, da böswillige Akteure Strategien wie ‚Typosquatting‘ verwenden, um die Verwirrung dieser Entwickler auszunutzen und bösartigen Identifizierungszeichen in Entwicklungspipelines und legitime Anwendungen zu schieben.“ ReversingLabs in seiner Zeugnis angegeben.

Während Identifizierungszeichen-Repositorys aller Wesen angegriffen werden, hat dies npm-Umwelt insgesamt mehr böswillige Hinblick erlitten denn dieser Pythonschlange-Paketindex. Im Jahr 2022 wurden 1.493 bösartige Pakete aufwärts PyPI hochgeladen, welches einem Rückgang von so gut wie 60 % oppositionell den 3.685 bösartigen Uploads entspricht, die ReversingLabs im Jahr 2021 entdeckt hat, so dies Unternehmen.

Die Unvorsichtigen täuschen

Zusammen mit den jüngsten Bemühungen wirft dies gefälschte SentinelOne 1.2.1-Päckchen viele rote Fahnen aufwärts, heißt es in dem Advisory. Zu den verdächtigen Verhaltensweisen in Besitz sein von die Vollziehung von Dateien, die Erstellung neuer Prozesse und die Kommunikation mit externen Servern unter Verwendung ihrer IP-Note anstelle eines Domänennamens.

ReversingLabs betonte, dass dieser Nachrichten außer dieser Verwendung des Namens dieser Sicherheitsfirma keine Vernetzung zu SentinelOne habe. Dasjenige PyPI-Päckchen scheint ein SDK zu sein, dies den programmgesteuerten Zugriff aufwärts den Client vereinfacht.

„Es vielleicht, dass böswillige Akteure versuchen, sich die starke Markenbekanntheit und den guten Ruf von SentinelOne zunutze zu zeugen, welches PyPI-Benutzer vertrauen lässt, dass sie die Sicherheitslösung von SentinelOne eingesetzt nach sich ziehen, ohne den – notwendigen – Schritttempo zu unternehmen, SentinelOne-Nachrichten zu werden“, erklärte ReversingLabs in seinem beratend. „Dieses PyPI-Päckchen soll denn SDK fungieren, um den Zugriff aufwärts die APIs von SentinelOne zu abstrahieren und die programmatische Nutzung dieser APIs zu vereinfachen.“

In einer Erläuterung oppositionell Dark Reading wiederholte SentinelOne, dass dies Päckchen gefälscht ist: „SentinelOne ist nicht an dem jüngsten bösartigen Pythonschlange-Päckchen beteiligt, dies unseren Namen nutzt. Angreifer werden ihren Kampagnen jedoch jeden Namen verschenken, von dem sie vertrauen, dass er ihnen helfen könnte, ihre beabsichtigten Ziele zu täuschen Dieses Päckchen ist in keiner Weise mit SentinelOne verbunden. Unsrige Kunden sind sicher, wir nach sich ziehen keine Hinweise aufwärts eine Kompromittierung aufgrund dieser Kampagne gesehen, und PyPI hat dies Päckchen fern.”

Angreifer sehen Entwickler denn weiteren Vektor

Dieser Übergriff zeigt zweitrangig, dass Entwickler zunehmend zum Ziel von Angreifern werden, die sie denn Schwachstelle in dieser Defensive dieser angegriffenen Unternehmen sowie denn potenziellen Weg zur Infizierung dieser Kunden dieser Unternehmen ansehen.

Im September nutzten Angreifer etwa gestohlene Zugangsdaten und vereinigen Slack-Entwicklungskanal, um den Spieleentwickler Rockstar Games zu kompromittieren und Zugang zu sensiblen Fakten zu erhalten, darunter Vermögenswerte für jedes dies Flaggschiff dieser Grand Theft PKW-Verkaufskonzession des Entwicklers.

Genug damit diesem Grund sollten Unternehmen ihren Entwicklern helfen zu verstehen, welche Softwarekomponenten ein Risiko darstellen könnten, sagt Pericin.

„Entwickler sollten neue Projektabhängigkeiten genauer unter die Lupe nehmen, vorweg sie sich für jedes deren Installation entscheiden“, sagt er. „Infolge dieser Tatsache, dass die Schadsoftware nur aktiviert wird, wenn sie verwendet wird, nicht wenn sie installiert ist, könnte ein Entwickler sogar eine neue App aufwärts diesem bösartigen SDK erstellt nach sich ziehen, ohne irgendetwas Seltsames zu registrieren.“

Im Kasus von SentinelSneak veröffentlichte dieser Bedrohungsakteur hinterm Trojanischen Pferd fünf weitere Pakete, die Variationen des Namens SentinelOne verwendeten. Die Variationen scheinen Tests zu sein und hatten keine Schlüsseldatei, die vereinigen Hauptteil dieser bösartigen Systemfunktionalität kapselte.

ReversingLabs meldete den Zwischenfall dem PyPI-Sicherheitsteam am 15. zwölfter Monat des Jahres, teilte dies Unternehmen mit. SentinelOne wurde am nächsten Tag benachrichtigt.

„Wir nach sich ziehen dieses bösartige Päckchen sehr Morgen abgefangen“, sagte dies Unternehmen. „Es gibt keinen Tabelle darauf, dass schon Leckermäulchen von dieser Schadsoftware betroffen war.“

Die Vergangenheit wurde aktualisiert, um eine Erläuterung von SentinelOne aufzunehmen.