Schadelijk PyPI-pakket ‘Fabrice’ gevonden bij het stelen van AWS-sleutels van duizenden ontwikkelaars

Cybersecurity-onderzoekers hebben een kwaadaardig pakket ontdekt op de Python Package Index (PyPI) dat al meer dan drie jaar duizenden downloads heeft opgeleverd, terwijl het heimelijk de Amazon Web Services (AWS)-referenties van ontwikkelaars exfiltreerde.

Het pakket in kwestie is ‘fabrice’, een typosquat van een populaire Python-bibliotheek die bekend staat als ‘fabric’ en die is ontworpen om shell-opdrachten op afstand uit te voeren via SSH.

Hoewel het legitieme pakket al meer dan 202 miljoen keer is gedownload, is de kwaadaardige tegenhanger tot nu toe meer dan 37.100 keer gedownload. Op het moment van schrijven is “fabrice” nog steeds beschikbaar om te downloaden via PyPI. Het werd voor het eerst gepubliceerd in maart 2021.

Het typosquatting-pakket is ontworpen om het vertrouwen dat geassocieerd wordt met ‘fabric’ te exploiteren, en bevat ‘payloads die inloggegevens stelen, backdoors creëren en platformspecifieke scripts uitvoeren’, aldus beveiligingsbedrijf Socket.

“Fabrice” is ontworpen om kwaadaardige acties uit te voeren op basis van het besturingssysteem waarop het is geïnstalleerd. Op Linux-machines gebruikt het een specifieke functie om vier verschillende shell-scripts van een externe server te downloaden, decoderen en uit te voeren (“89.44.9(.)227”).

Op systemen met Windows worden twee verschillende payloads – een Visual Basic Script (“p.vbs”) en een Python-script – geëxtraheerd en uitgevoerd, waarbij de eerste een verborgen Python-script (“d.py”) uitvoert, opgeslagen in de map Downloads. .

“Dit VBScript functioneert als een launcher, waardoor het Python-script opdrachten kan uitvoeren of verdere payloads kan initiëren zoals ontworpen door de aanvaller”, aldus beveiligingsonderzoekers Dhanesh Dodia, Sambarathi Sai en Dwijay Chintakunta.

Het andere Python-script is ontworpen om een ​​kwaadaardig uitvoerbaar bestand van dezelfde externe server te downloaden, het op te slaan als “chrome.exe” in de map Downloads, persistentie in te stellen met behulp van geplande taken om het binaire bestand elke 15 minuten uit te voeren, en uiteindelijk de “d” te verwijderen. .py”-bestand.

Het einddoel van het pakket, ongeacht het besturingssysteem, lijkt diefstal van inloggegevens te zijn, het verzamelen van AWS-toegang en geheime sleutels met behulp van de Boto3 AWS Software Development Kit (SDK) voor Python en het exfiltreren van de informatie terug naar de server.

“Door AWS-sleutels te verzamelen krijgt de aanvaller toegang tot potentieel gevoelige cloudbronnen”, aldus de onderzoekers. “Het fabrice-pakket vertegenwoordigt een geavanceerde typosquatting-aanval, gemaakt om de vertrouwde fabric-bibliotheek na te bootsen en nietsvermoedende ontwikkelaars te exploiteren door ongeoorloofde toegang te verkrijgen tot gevoelige inloggegevens op zowel Linux- als Windows-systemen.”

Thijs Van der Does