Um pacote Python malicioso denominado 'fabrice' está presente no Índice de Pacotes Python (PyPI) desde 2021, roubando credenciais do Amazon Web Services de desenvolvedores desavisados.
De acordo com a empresa de segurança de aplicações Socket, o pacote foi baixado mais de 37.000 vezes e executa scripts específicos para as plataformas Windows e Linux.
O grande número de downloads é resultado do fabrice praticar typosquatting do pacote legítimo de gerenciamento remoto de servidores SSH “fabric”, uma biblioteca muito popular com mais de 200 milhões de downloads.
Um especialista explicou que o fabrice permaneceu indetectado por tanto tempo porque ferramentas avançadas de varredura foram implantadas após sua submissão inicial no PyPI, e poucas soluções realizavam varreduras retroativas.
O pacote fabrice é projetado para realizar ações de acordo com o sistema operacional em que é executado.
No Linux, ele configura um diretório oculto em ‘~/.local/bin/vscode’ para armazenar scripts shell codificados divididos em vários arquivos, os quais são recuperados de um servidor externo (89.44.9[.]227).
Os scripts shell são decodificados e concedem permissões de execução, permitindo que o atacante execute comandos com privilégios de usuário, explicam os pesquisadores.
No Windows, o fabrice baixa um payload codificado (base64) que é um VBScript (p.vbs) criado para iniciar um script Python oculto (d.py).
O script Python é responsável por obter um executável malicioso (‘chrome.exe’) que é depositado na pasta Downloads da vítima.
Seu propósito é agendar uma tarefa no Windows para ser executada a cada 15 minutos, garantindo persistência após reinicializações.
Independentemente do sistema operacional, o principal objetivo do fabrice é roubar credenciais AWS usando o ‘boto3’, o SDK Python oficial para Amazon Web Services, permitindo interação e gerenciamento de sessões com a plataforma.
Uma vez que uma sessão Boto3 é iniciada, ela automaticamente puxa credenciais AWS do ambiente, metadados da instância ou outras fontes configuradas.
Os atacantes então exfiltram as chaves roubadas para um servidor VPN (operado pela M247 em Paris), o que torna mais difícil rastrear o destino.
Mitigar o risco de typosquatting é possível quando os usuários verificam os pacotes baixados do PyPI.
Outra opção são ferramentas criadas especificamente para detectar e bloquear tais ameaças.
Em termos de proteger repositórios AWS de acessos não autorizados, administradores devem considerar o AWS Identity and Access Management (IAM) para gerenciar permissões aos recursos.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...