มัลแวร์ ‘SentinelOne’ ใน PyPI package ขโมยข้อมูลจากนักพัฒนา

10 January 2566
มัลแวร์ ‘SentinelOne’ ใน PyPI package ขโมยข้อมูลจากนักพัฒนา

ได้มีการปล่อยมัลแวร์ Python แพ็คเกจบน PyPI ที่ชื่อว่า SentinelOne ซึ่งได้แสร้งเป็น Software ด้าน CyberSecurity ที่ถูกกฎหมาย แต่ที่จริงแล้ว ได้มีการขโมยข้อมูลจากนักพัฒนา แพ็คเกจมีฟังก์ชั่นการทำงานที่ง่ายในการเข้าถึง SentinelOne API   จากอีกโปรเจ็กต์ อย่างไรก็ตามแพ็คเกจนี้ได้แฝง trojan เพื่อทำการขโมยข้อมูลสำคัญ การโจมตีถูกพบโดย ReversingLabs ได้มีการยืนยันถึงฟังก์ชั่นการทำงานของ มัลแวร์ และ ได้รายงานไปยัง SentinelOne และ  PyPi ให้ทำการลบออกจากแพ็คเกจ Trojanized SDK client มัลแวร์ SentinelOne package ถูกอัปโหลด ไปยัง PyPI ครั้งแรก ในวันที่ 11 ธันวาคม 2022 และ ต่อมาได้มีการ อัพเดทไปกว่า 20 ครั้ง จากที่นักวิจัยกล่าวว่า แพ็คเกจนี้ถูกเชื่อว่าเป็นสำเนา ของ SentinelOne SDK python client จริง และ ผู้คุกคามได้ดำเนินการ อัพเดท เพื่อพัฒนา และ ปรับปรุง การทำงานของมัลแวร์ ในแพ็คเกจ

ต่อมาหลังจากการวิเคราะห์ ReversingLabs พบการปลอม ‘SentinelOne’ package ซึ่งมีการใส่ไฟล์ “api.py” ซึ่งมี malicious code ที่ขโมยข้อมูล และอัปโหลด data ไปยัง IP address (54.254.189.27),ซึ่งไม่ได้เป็นของระบบ SentinelOne malicious code ทำหน้านี้ขโมยข้อมูลมัลแวร์ เพื่อส่งออกข้อมูลที่เกี่ยวข้องกับนักพัฒนาซอฟต์แวร์จากไดเรกทอรีหลักทั้งหมดบนอุปกรณ์ ข้อมูลเกี่ยวกับ Bash และ Zsh histories, SSH keys, .gitconfig files, hosts files, AWS configuration info, Kube configuration info,และอีกมากมาย เนื่องจากโฟลเดอร์เหล่านี้มักประกอบด้วยโทเค็นการรับรองความถูกต้อง ความลับ และคีย์ API จึงเชื่อว่าผู้คุกคามจงใจกำหนดเป้าหมายของนักพัฒนา เพื่อเข้าถึงบริการคลาวด์และเซิร์ฟเวอร์เพิ่มเติม นักวิเคราะห์ยังพบว่าเวอร์ชั่นก่อนๆ ของแพ็คเกจ มีปัญหาในการเรียกใช้โมดูลการรวบรวมข้อมูลบนระบบ Linux ซึ่งเป็นปัญหาที่ได้รับการแก้ไขแล้วในเวอร์ชั่นหลังๆ ReversingLabs รายงานว่าพบแพ็คเกจที่มีชื่อคล้ายกันอีก 5 แพ็คเกจที่อัปโหลดโดยผู้เขียนคนเดียวกันระหว่างวันที่ 8 ถึง 11 ธันวาคม 2022 อย่างไรก็ตาม แพ็คเกจเหล่านี้ไม่มีไฟล์ api.py ดังนั้นจึงน่าจะใช้สำหรับการทดสอบ แพกเกจมัลแวร์ขโมยข้อมูลเวอร์ชั่นเผยแพร่ทั้งหมดได้รับการดาวน์โหลดมากกว่า 1,000 ครั้งบน PyPI จากหลักฐานที่รวบรวมได้ นักวิจัยของ ReversingLabs ไม่สามารถระบุได้ว่าแพ็คเกจดังกล่าวถูกใช้ในการโจมตีจริงหรือไม่