{"id":533498,"date":"2022-12-19T20:26:16","date_gmt":"2022-12-19T20:26:16","guid":{"rendered":"https:\/\/teknomers.com\/es\/investigadores-descubren-paquete-pypi-malicioso-haciendose-pasar-por-sentinelone-sdk-para-robar-datos\/"},"modified":"2022-12-19T20:26:18","modified_gmt":"2022-12-19T20:26:18","slug":"investigadores-descubren-paquete-pypi-malicioso-haciendose-pasar-por-sentinelone-sdk-para-robar-datos","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/investigadores-descubren-paquete-pypi-malicioso-haciendose-pasar-por-sentinelone-sdk-para-robar-datos\/","title":{"rendered":"Investigadores descubren paquete PyPI malicioso haci\u00e9ndose pasar por SentinelOne SDK para robar datos"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>19 de diciembre de 2022<\/span>\ue804<\/i>Ravie Lakshman\u00e1n<\/span><\/span>Seguridad de software \/ Cadena de suministro<\/span><\/p>\n<\/div>\n

\n
<\/div>\n

Investigadores de ciberseguridad han descubierto un nuevo paquete malicioso en el repositorio Python Package Index (PyPI) que se hace pasar por un kit de desarrollo de software (SDK) para SentinelOne, una importante empresa de ciberseguridad, como parte de una campa\u00f1a denominada CentinelaSneak<\/strong>.<\/p>\n

El paquete, llamado SentinelOne<\/a> y ahora eliminado, se dice que se public\u00f3 entre el 8 y el 11 de diciembre de 2022, con casi dos docenas de versiones impulsadas en r\u00e1pida sucesi\u00f3n durante un per\u00edodo de dos d\u00edas.<\/p>\n

Pretende ofrecer un m\u00e9todo m\u00e1s f\u00e1cil para acceder a la API de la empresa<\/a>pero alberga una puerta trasera maliciosa que est\u00e1 dise\u00f1ada para acumular informaci\u00f3n confidencial de los sistemas de desarrollo, incluidas las credenciales de acceso, las claves SSH y los datos de configuraci\u00f3n.<\/p>\n

Adem\u00e1s, tambi\u00e9n se ha observado que el actor de amenazas lanza dos paquetes m\u00e1s con variaciones de nombres similares: SentinelOne-sdk<\/a> y SentinelOneSDK<\/a> \u2013 subrayando las continuas amenazas que acechan en los repositorios de c\u00f3digo abierto.<\/p>\n

\"La<\/a><\/center><\/div>\n

“El paquete impostor SentinelOne es solo la \u00faltima amenaza para aprovechar el repositorio PyPI y subraya la creciente amenaza para las cadenas de suministro de software, ya que los actores malintencionados utilizan estrategias como ‘typosquatting’ para explotar la confusi\u00f3n de los desarrolladores e introducir c\u00f3digo malicioso en las canalizaciones de desarrollo y aplicaciones leg\u00edtimas”. Karlo Zanki, investigador de amenazas de ReversingLabs dijo<\/a> en un informe compartido con The Hacker News.<\/p>\n

Lo notable del paquete fraudulento es que imita un SDK leg\u00edtimo<\/a> que SentinelOne ofrece a sus clientes, lo que podr\u00eda enga\u00f1ar a los desarrolladores para que descarguen el m\u00f3dulo de PyPI.<\/p>\n

\"Paquete<\/div>\n

La empresa de seguridad de la cadena de suministro de software se\u00f1al\u00f3 que el c\u00f3digo de cliente SDK “probablemente se obtuvo de la empresa a trav\u00e9s de una cuenta de cliente leg\u00edtima”.<\/p>\n

Algunos de los datos extra\u00eddos por el malware a un servidor remoto incluyen el historial de ejecuci\u00f3n de comandos de shell, claves SSH y otros archivos de inter\u00e9s, lo que indica un intento por parte del actor de amenazas de desviar informaci\u00f3n confidencial de los entornos de desarrollo.<\/p>\n

No est\u00e1 claro de inmediato si el paquete fue armado como parte de un ataque activo a la cadena de suministro, aunque se descarg\u00f3 m\u00e1s de 1000 veces antes de su eliminaci\u00f3n.<\/p>\n

Los hallazgos se presentan como el informe Estado de la seguridad de la cadena de suministro de software de ReversingLabs. encontrado<\/a> que el repositorio PyPI ha sido testigo de una disminuci\u00f3n de casi el 60 % en las cargas de paquetes maliciosos en 2022, cayendo a 1493 paquetes desde 3685 en 2021.<\/p>\n

Por el contrario, el repositorio de JavaScript de npm experiment\u00f3 un aumento del 40 % a casi 7000, lo que lo convierte en el “mayor patio de recreo para los actores malintencionados”. En total, las tendencias de paquetes maliciosos desde 2020 han mostrado un aumento de 100 veces en npm y m\u00e1s del 18 000 % en PyPI.<\/p>\n

“Aunque de alcance peque\u00f1o y de escaso impacto, esta campa\u00f1a es un recordatorio para las organizaciones de desarrollo de la persistencia de las amenazas a la cadena de suministro de software”, dijo Zanki. “Al igual que con campa\u00f1as maliciosas anteriores, esta juega con t\u00e1cticas de ingenier\u00eda social probadas y verdaderas para confundir y enga\u00f1ar a los desarrolladores para que descarguen un m\u00f3dulo malicioso”.<\/p>\n

<\/p>\n

\u00bfEncontraste este art\u00edculo interesante? Siga con nosotros Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n