Peneliti keamanan siber telah menemukan paket berbahaya baru di repository Python Package Index (PyPI) yang meniru kit pengembangan perangkat lunak (SDK) untuk SentinelOne, sebuah perusahaan keamanan siber besar, sebagai bagian dari kampanye yang dijuluki SentinelSneak.
Paket bernama SentinelOne tersebut, yang diterbitkan antara 8 dan 11 Desember 2022 dengan hampir dua lusin versi didorong secara berurutan selama dua hari itu telah dihapus.
Penawaran metode ini yaitu lebih mudah untuk mengakses perusahaan namun memiliki celah belakang berbahaya untuk mengumpulkan informasi sensitif dari sistem pengembangan, termasuk kredensial akses, kunci SSH, dan data konfigurasi.
Menurut pengamatan, aktor ancaman telah merilis dua paket lagi dengan variasi penamaan serupa yaitu SentinelOne-sdk dan SentinelOneSDK.
Peneliti ancaman ReversingLabs, Karlo Zanki, mengatakan dalam sebuah laporan yang dibagikan dengan The Hacker News bahwa paket SentinelOne hanyalah ancaman terbaru untuk memanfaatkan repositori PyPI dan menggarisbawahi ancaman yang berkembang terhadap rantai pasokan perangkat lunak, karena aktor jahat menggunakan strategi seperti ‘typosquatting’ untuk mengeksploitasi kebingungan pengembang dan mendorong kode berbahaya ke saluran pengembangan dan aplikasi yang sah.
Beberapa data yang diekstraksi oleh malware ke server jarak jauh termasuk riwayat eksekusi perintah shell, kunci SSH, dan file lain yang menarik, menunjukkan upaya pihak pelaku ancaman untuk menyedot informasi sensitif dari lingkungan pengembangan.
SentinelOne menyatakan tidak terlibat dengan paket Python berbahaya baru-baru ini dan bahwa pelaku ancaman tidak berhasil dalam upaya mereka. Perusahaan tersebut juga memastikan pelanggannya aman.
Temuan ini muncul ketika laporan Keamanan Rantai Pasokan Perangkat Lunak ReversingLabs menemukan bahwa repository PyPI telah menyaksikan penurunan hampir 60% dalam unggahan paket berbahaya pada tahun 2022, turun menjadi 1.493 paket dari 3.685 pada tahun 2021.
Berbanding terbalik dengan repository npm JavaScript yang mengalami peningkatan 40% menjadi hampir 7.000. Secara keseluruhan, tren paket berbahaya sejak 2020 telah menunjukkan peningkatan 100 kali lipat dalam npm dan lebih dari 18.000% dalam PyPI.
Selengkapnya: The Hacker News