Забэкдоренный SentinelOne SDK был загружен с PyPI более 1000 раз

Татьяна Никитина 20 Декабря 2022 - 15:54

...

Забэкдоренный SentinelOne SDK был загружен с PyPI более 1000 раз

Эксперты ReversingLabs обнаружили в PyPI зловреда, замаскированного под комплект разработчика (SDK) от SentinelOne. Как оказалось, вредоносный пакет действительно облегчает доступ к API ИБ-компании, но при этом содержит бэкдор, ворующий конфиденциальные данные из систем разработчиков.

Фальшивка, явно созданная для атаки на цепочку поставок, была загружена в публичный репозиторий 11 декабря из-под аккаунта возрастом меньше недели. В течение двух следующих дней автор вредоносного проекта выпустил 20 обновлений. Согласно статистике PyPI, забэкдоренный софт, заимствующий известное имя, скачали более 1000 раз до того, как он был изъят из загрузок.

Проведенный в ReversingLabs анализ показал, что поддельная библиотека представляет собой полнофункциональный клиент SentinelOne, но содержит также два дополнительных файла api.py. Эти довески активируются только при вызове связанного зависимостью компонента и демонстрируют подозрительное поведение — перечисляют файлы в папках, удаляют файлы и папки, создают новый процесс, подключаются к удаленному серверу по IP-адресу (54[.]254.189.27).

Добавленный бэкдор предназначен в основном для эксфильтрации данных среды разработки. С этой целью вредонос ворует историю выполнения шелл-команд и содержимое папки SSH — сохраненные ключи и конфигурационные данные, в том числе учетки и секреты для получения доступа к Git, Kubernetes и AWS. Собранная информация вместе с листингом корневого каталога отсылается на C2-сервер.

Разбор многочисленных апдейтов фейкового пакета показал, что вирусописатель совершенствовал функциональность сбора данных на различных платформах. Первоначальный вариант бэкдора не учитывал особенности ОС, под которой запущен, и Linux-версия алгоритма работала некорректно.

В рамках данной вредоносной кампании, которую исследователи нарекли SentinelSneak, были также опубликованы пять пакетов без вредоносных api.py — по всей видимости, тестовые образцы. Их загрузили на PyPI в период с 8 по 11 декабря.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 09 Сентября 2025 - 08:36

Эксплойты Уязвимости программ Уязвимость нулевого дня Домашние пользователи Корпорации

Бывший топ WhatsApp* обвинил Meta** в сокрытии проблем с безопасностью

Бывший глава службы безопасности WhatsApp, Аттаулла Байг, подал в суд на корпорацию Meta. Согласно исковому заявлению, его уволили в ответ на то, что он сообщил о серьёзных сбоях в безопасности мессенджера, которые могли нарушать закон и вводить в заблуждение акционеров.

Иск (PDF), поданный в Северной Калифорнии, утверждает: Байг сообщил о проблемах, которые, по его мнению, нарушали закон Сарбейнса-Оксли и правила SEC о внутреннем контроле.

В ответ, говорит он, ему начали намеренно ставить плохие оценки в работе, чтобы подготовить почву для увольнения. Meta, ожидаемо, всё отрицает.

Вице-президент по коммуникациям WhatsApp Карл Вуг заявил в комментарии для The Register, что это «типичный сценарий», когда уволенный за плохие результаты сотрудник играет на публику «искажёнными обвинениями». Компания настаивает, что безопасность остаётся её приоритетом.

Но у WhatsApp и Meta с репутацией всё непросто. За последние годы сервис уже получал крупные штрафы от ирландского регулятора за нарушения правил защиты данных, а в 2024-м FTC раскритиковала все соцсети, включая WhatsApp, за недостаточный уровень приватности. Совсем недавно компания закрыла уязвимость нулевого дня в клиентах для iOS и macOS.

В иске Байга перечислены проблемы, которые он поднимал на совещаниях: отсутствие учёта и инвентаризации пользовательских данных, свободный доступ к ним у примерно 1,5 тысячи инженеров, отсутствие мониторинга и невозможность отследить утечки, а также ежедневные сотни тысяч угонов аккаунтов.

В 2022 году он напрямую предупреждал руководство WhatsApp — включая CEO Уилла Каткарта — о риске повторить судьбу Twitter после громкого заявления бывшего секьюрити-директора компании Питера «Маджа» Затко.

Байг утверждает, что в январе 2024-го даже писал лично Марку Цукербергу и юристу Meta Дженнифер Ньюстед, предупреждая о возможных нарушениях и о попытках фальсификации отчётов по безопасности. Осенью того же года он подал жалобу в SEC. В феврале 2025 года получил уведомление об увольнении.

Теперь дело за судом — и, учитывая масштаб обвинений, история может оказаться для Meta куда более неприятной, чем «обычный трудовой спор».

* принадлежит корпорации Meta, признанной экстремисткой и запрещённой в России

** признана экстремисткой и запрещена в России