Un pachet Python malefic numit ‘fabrice’ a fost prezent în Indexul Pachetelor Python (PyPI) începând cu 2021, furând credențiale Amazon Web Services de la dezvoltatorii neatenți.
Potrivit companiei de securitate a aplicațiilor Socket, pachetul a fost descărcat de peste 37.000 de ori și execută scripturi specifice platformei pentru Windows și Linux.
Numărul mare de descărcări se datorează faptului că fabrice a folosit metoda de typosquatting pe pachetul legitim de management al serverului remote SSH ‘fabric’, o bibliotecă foarte populară cu peste 200 de milioane de descărcări.
Un expert a explicat pentru BleepingComputer că fabrice a rămas nedetectat atât de mult timp deoarece s-au folosit instrumente avansate de scanare după trimiterea inițială pe PyPI, iar foarte puține soluții au efectuat scanări retroactive.
Pachetul fabrice este proiectat pentru a efectua acțiuni în funcție de sistemul de operare pe care rulează.
Pe Linux, acesta creează un director ascuns la „~/.local/bin/vscode” pentru a stoca scripturi shell codificate divizate în mai multe fișiere, care sunt preluate de pe un server extern (89.44.9[.]227).
Scripturile shell sunt decodate și primesc permisiuni de execuție, permițând atacatorului să execute comenzi cu privilegiile utilizatorului, explică cercetătorii.
Pe Windows, fabrice descarcă o încărcătură codificată (base64) care este un VBScript (p.vbs) creat pentru a lansa un script Python ascuns (d.py).
Scriptul Python este responsabil pentru obținerea unui executabil malefic (‘chrome.exe’) care este descărcat în folderul Downloads al victimei. Scopul său este de a programa o sarcină Windows pentru a se executa la fiecare 15 minute, pentru a asigura persistența după repornire.
Indiferent de sistemul de operare, obiectivul principal al fabrice este de a fura credențiale AWS folosind ‘boto3’, SDK-ul oficial Python pentru Amazon Web Services, permițând interacțiunea și gestionarea sesiunilor cu platforma.
Odată ce este inițializată o sesiune Boto3, aceasta extrage automat credențialele AWS din mediu, metadatele instanței sau alte surse configurate.
Atacatorii exfiltează apoi cheile furate către un server VPN (operat de M247 la Paris), ceea ce dificultează urmărirea destinației.
Reduzerea riscului de typosquatting este posibilă atunci când utilizatorii verifică pachetele descărcate de pe PyPI. O altă opțiune sunt instrumentele create special pentru a detecta și bloca astfel de amenințări.
În ceea ce privește protejarea depozitelor AWS împotriva accesului neautorizat, administratorii ar trebui să ia în considerare AWS Identity and Access Management (IAM) pentru a gestiona permisiunile asupra resurselor.
Hackerii fură 15.000 de credențiale cloud din fișierele de configurare Git expuse
Amazon confiscă domeniile folosite într-o campanie de Desktop Remote falsă pentru a fura date
Cheile de autentificare AWS, Azure găsite în aplicații Android și iOS utilizate de milioane de persoane
Top 5 Automatizări de Securitate Cloud pentru echipele SecOps
Acest pachet de 30 $ te ajută să te pregătești pentru certificările AWS, CompTIA cloud IT
Leave a Reply