Pesquisadores de cibersegurança descobriram um pacote malicioso no Python Package Index (PyPI) que acumulou milhares de downloads ao longo de mais de três anos, enquanto furtivamente exfiltrava as credenciais dos desenvolvedores da Amazon Web Services (AWS).
O pacote em questão é o "fabrice", que pratica o typosquatting em uma biblioteca Python popular conhecida como "fabric", projetada para executar comandos shell remotamente via SSH.
Enquanto o pacote legítimo tem mais de 202 milhões de downloads, sua contraparte maliciosa foi baixada mais de 37.100 vezes até a presente data.
Até o momento desta redação, "fabrice" ainda está disponível para download no PyPI.
Foi publicado pela primeira vez em março de 2021.
O pacote de typosquatting é projetado para explorar a confiança associada ao "fabric", incorporando "payloads que roubam credenciais, criam backdoors e executam scripts específicos de plataforma", disse a firma de segurança Socket.
O “fabrice” é projetado para realizar suas ações maliciosas com base no sistema operacional em que está instalado.
Em máquinas Linux, ele usa uma função específica para baixar, decodificar e executar quatro scripts shell diferentes de um servidor externo ("89.44.9[.]227").
Em sistemas que executam o Windows, dois payloads diferentes – um script Visual Basic ("p.vbs") e um script Python – são extraídos e executados, com o primeiro rodando um script Python oculto ("d.py") armazenado na pasta Downloads.
"Este VBScript funciona como um lançador, permitindo que o script Python execute comandos ou inicie outros payloads conforme projetado pelo atacante", disseram os pesquisadores de segurança Dhanesh Dodia, Sambarathi Sai e Dwijay Chintakunta.
O outro script Python é projetado para baixar um executável malicioso do mesmo servidor remoto, salvar como "chrome.exe" na pasta Downloads, configurar a persistência usando tarefas agendadas para executar o binário a cada 15 minutos e, finalmente, apagar o arquivo "d.py".
O objetivo final do pacote, independentemente do sistema operacional, parece ser o roubo de credenciais, coletando as chaves de acesso e segredo da AWS usando o Boto3 AWS Software Development Kit (SDK) para Python e exfiltrando as informações de volta ao servidor.
"Ao coletar chaves da AWS, o atacante ganha acesso a recursos de nuvem potencialmente sensíveis", disseram os pesquisadores.
O pacote fabrice representa um ataque de typosquatting sofisticado, criado para se passar pela confiável biblioteca fabric e explorar desenvolvedores desavisados, obtendo acesso não autorizado a credenciais sensíveis em sistemas Linux e Windows.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...