Забэкдоренный SentinelOne SDK был загружен с PyPI более 1000 раз

Забэкдоренный SentinelOne SDK был загружен с PyPI более 1000 раз

Забэкдоренный SentinelOne SDK был загружен с PyPI более 1000 раз

Эксперты ReversingLabs обнаружили в PyPI зловреда, замаскированного под комплект разработчика (SDK) от SentinelOne. Как оказалось, вредоносный пакет действительно облегчает доступ к API ИБ-компании, но при этом содержит бэкдор, ворующий конфиденциальные данные из систем разработчиков.

Фальшивка, явно созданная для атаки на цепочку поставок, была загружена в публичный репозиторий 11 декабря из-под аккаунта возрастом меньше недели. В течение двух следующих дней автор вредоносного проекта выпустил 20 обновлений. Согласно статистике PyPI, забэкдоренный софт, заимствующий известное имя, скачали более 1000 раз до того, как он был изъят из загрузок.

 

Проведенный в ReversingLabs анализ показал, что поддельная библиотека представляет собой полнофункциональный клиент SentinelOne, но содержит также два дополнительных файла api.py. Эти довески активируются только при вызове связанного зависимостью компонента и демонстрируют подозрительное поведение — перечисляют файлы в папках, удаляют файлы и папки, создают новый процесс, подключаются к удаленному серверу по IP-адресу (54[.]254.189.27).

Добавленный бэкдор предназначен в основном для эксфильтрации данных среды разработки. С этой целью вредонос ворует историю выполнения шелл-команд и содержимое папки SSH — сохраненные ключи и конфигурационные данные, в том числе учетки и секреты для получения доступа к Git, Kubernetes и AWS. Собранная информация вместе с листингом корневого каталога отсылается на C2-сервер.

Разбор многочисленных апдейтов фейкового пакета показал, что вирусописатель совершенствовал функциональность сбора данных на различных платформах. Первоначальный вариант бэкдора не учитывал особенности ОС, под которой запущен, и Linux-версия алгоритма работала некорректно.

В рамках данной вредоносной кампании, которую исследователи нарекли SentinelSneak, были также опубликованы пять пакетов без вредоносных api.py — по всей видимости, тестовые образцы. Их загрузили на PyPI в период с 8 по 11 декабря.

Минцифры создаст полигон для тестирования систем с ИИ на безопасность

Минцифры планирует создать киберполигон для тестирования систем с искусственным интеллектом (ИИ) на безопасность. В первую очередь речь идёт о решениях, предназначенных для применения на объектах критической инфраструктуры, а также о системах с функцией принятия решений.

О том, что министерство ведёт работу над созданием такого полигона, сообщил РБК со ссылкой на несколько источников.

Площадка будет использоваться для тестирования ИИ-систем, которые в дальнейшем должны пройти сертификацию ФСТЭК и ФСБ России. Это предусмотрено правительственным законопроектом «О применении систем искусственного интеллекта органами, входящими в единую систему публичной власти, и внесении изменений в отдельные законодательные акты».

Документ вводит четыре уровня критичности ИИ-систем:

  • минимальный — влияние на безопасность отсутствует или минимально;
  • ограниченный;
  • высокий — относится к системам, используемым на объектах критической информационной инфраструктуры;
  • критический — системы, способные угрожать жизни и здоровью людей или безопасности государства, а также автономные комплексы, принимающие самостоятельные решения.

Определять уровень критичности будет Национальный центр искусственного интеллекта в сфере госуправления при правительстве. Эта же структура займётся ведением реестра сертифицированных ИИ-систем.

Конкретные требования к сертификации планируется закрепить в отдельных нормативных документах, которые пока находятся в разработке. На текущем этапе единственным обязательным условием является включение программного обеспечения в реестр Минцифры.

По данным «Российской газеты», распространять новые требования на коммерческие ИИ-решения не планируется. При этом в аппарате первого вице-премьера Дмитрия Григоренко пояснили, что ключевая цель законопроекта — снизить риски применения ИИ в сферах с высокой ценой ошибки, включая здравоохранение, судопроизводство, общественную безопасность и образование.

RSS: Новости на портале Anti-Malware.ru