Investigadores de ciberseguridad han descubierto un nuevo paquete malicioso en el repositorio Python Package Index (PyPI) que se hace pasar por un kit de desarrollo de software (SDK) para SentinelOne, una importante empresa de ciberseguridad, como parte de una campaña denominada CentinelaSneak.
El paquete, llamado SentinelOne y ahora eliminado, se dice que se publicó entre el 8 y el 11 de diciembre de 2022, con casi dos docenas de versiones impulsadas en rápida sucesión durante un período de dos días.
Pretende ofrecer un método más fácil para acceder a la API de la empresapero alberga una puerta trasera maliciosa que está diseñada para acumular información confidencial de los sistemas de desarrollo, incluidas las credenciales de acceso, las claves SSH y los datos de configuración.
Además, también se ha observado que el actor de amenazas lanza dos paquetes más con variaciones de nombres similares: SentinelOne-sdk y SentinelOneSDK – subrayando las continuas amenazas que acechan en los repositorios de código abierto.
«El paquete impostor SentinelOne es solo la última amenaza para aprovechar el repositorio PyPI y subraya la creciente amenaza para las cadenas de suministro de software, ya que los actores malintencionados utilizan estrategias como ‘typosquatting’ para explotar la confusión de los desarrolladores e introducir código malicioso en las canalizaciones de desarrollo y aplicaciones legítimas». Karlo Zanki, investigador de amenazas de ReversingLabs dijo en un informe compartido con The Hacker News.
Lo notable del paquete fraudulento es que imita un SDK legítimo que SentinelOne ofrece a sus clientes, lo que podría engañar a los desarrolladores para que descarguen el módulo de PyPI.
La empresa de seguridad de la cadena de suministro de software señaló que el código de cliente SDK «probablemente se obtuvo de la empresa a través de una cuenta de cliente legítima».
Algunos de los datos extraídos por el malware a un servidor remoto incluyen el historial de ejecución de comandos de shell, claves SSH y otros archivos de interés, lo que indica un intento por parte del actor de amenazas de desviar información confidencial de los entornos de desarrollo.
No está claro de inmediato si el paquete fue armado como parte de un ataque activo a la cadena de suministro, aunque se descargó más de 1000 veces antes de su eliminación.
Los hallazgos se presentan como el informe Estado de la seguridad de la cadena de suministro de software de ReversingLabs. encontrado que el repositorio PyPI ha sido testigo de una disminución de casi el 60 % en las cargas de paquetes maliciosos en 2022, cayendo a 1493 paquetes desde 3685 en 2021.
Por el contrario, el repositorio de JavaScript de npm experimentó un aumento del 40 % a casi 7000, lo que lo convierte en el «mayor patio de recreo para los actores malintencionados». En total, las tendencias de paquetes maliciosos desde 2020 han mostrado un aumento de 100 veces en npm y más del 18 000 % en PyPI.
«Aunque de alcance pequeño y de escaso impacto, esta campaña es un recordatorio para las organizaciones de desarrollo de la persistencia de las amenazas a la cadena de suministro de software», dijo Zanki. «Al igual que con campañas maliciosas anteriores, esta juega con tácticas de ingeniería social probadas y verdaderas para confundir y engañar a los desarrolladores para que descarguen un módulo malicioso».