Des cybercriminels ont mis en ligne un paquet Python malveillant correspondant à SentinelOne, dont l'objectif est clair : dérober les données des développeurs. Faisons le point sur cette nouvelle menace.

Découvert par la société ReversingLabs, cette nouvelle menace cible particulièrement les développeurs. Il est légitime de se demander pourquoi ? Et bien, car il s'agit d'un paquet malveillant qui prétend être un client SDK légitime de SentinelOne, alors que ce n'est pas le cas.

Pour éviter d'éveiller les soupçons, ce paquet Python offre bien la fonctionnalité attendue : accéder facilement à l'API de SentinelOne à partir d'un autre projet. Cependant, les cybercriminels l'ont modifié de manière à intégrer un Cheval de Troie dont l'objectif est de voler les données des ordinateurs compromis.

Une fois en place, le fichier malveillant "api.py" génère clairement une activité malveillante puisqu'il charge les données de la machine locale vers un serveur distant correspondant à l'adresse IP "54[.]254[.]189[.]27". Parmi les données ciblées, on peut citer : les clés SSH, les fichiers ".gitconfig", les fichiers hosts, les historiques de saisies dans les terminaux (Bash, Zsh), des informations de configuration AWS, etc.

Pour qu'il soit facilement installable et pour que le piège soit complet, les pirates informatiques l'ont mis en ligne sur le dépôt PyPI, où l'on retrouve des centaines de milliers de paquets Python. Il a été mis en ligne la première fois le 11 décembre 2022, ce qui est assez récemment. Puis, il a été mis à jour 20 fois en quelques jours dans le but d'améliorer ses fonctionnalités malveillantes, d'après les chercheurs en sécurité de ReversingLabs. On peut imaginer que c'est aussi un moyen de montrer que le projet est actif. Encore une fois, on est clairement sur une campagne de type typosquatting comme Mickaël vous l'expliquait dans un précédent article.

Depuis, la société ReversingLabs a pu remonter l'information à l'éditeur SentinelOne et signaler le paquet malveillant à PyPi, ce qui a conduit à la suppression du paquet. En quelques jours, toutes les versions publiées par les cybercriminels ont reçu plus de 1 000 téléchargements sur PyPI ! Malheureusement, cela pourrait être préjudiciable pour les entreprises concernées dans les semaines et mois à venir...!

Source

L'article Ce paquet malveillant SentinelOne veut s’en prendre aux données des développeurs est disponible sur IT-Connect : IT-Connect.