Пакет Python «fabrice» викрадає облікові дані розробників

Експерти компанії Socket виявили шкідливий пакет Python під назвою «fabrice», який видає себе за популярну бібліотеку автоматизації SSH «fabric» і краде облікові дані розробників на платформі AWS. Як повідомляє Developer-Tech, з моменту своєї появи в репозиторії PyPI у 2021 році «fabrice» має понад 37 000 завантажень.

Легальна бібліотека «fabric», створена розробником bitprophet, має понад 201 мільйон завантажень. Однак фейковий «fabrice» прагне використати довіру мільйонів розробників для крадіжки їхніх облікових даних і створення бекдорів.

Зловмисна ​​діяльність «fabrice» поширена як у системах Linux, так і в Windows. Наприклад, у Linux «fabrice» використовує функцію під назвою linuxThread() для завантаження, декодування та виконання сценаріїв із зовнішнього сервера. Шкідливий пакет, який спеціально націлений на приховані каталоги, використовує методи обфускації, щоб уникнути виявлення.

Функція linuxThread() намагається створити прихований каталог (`~/.local/bin/vscode`) для зберігання завантажених шкідливих корисних даних, що ускладнює для користувачів виявлення будь-яких аномалій.

Пакет використовує обфусцовану URL-адресу, зібрану за допомогою конкатенації рядків, для підключення до IP-адреси (89.44.9.227, пов’язаної з сервером VPN M247 у Парижі) для завантаження сценаріїв. Отриманий текст потім аналізується на кілька виконуваних файлів, що зберігаються в прихованому каталозі.

Встановлюючи дозволи на виконання, функція запускає один із цих сценаріїв (`per.sh`), який потенційно дозволяє зловмисникам виконувати команди з привілеями користувача.

Для жертв, які працюють на платформі Windows, «fabrice» використовує функцію winThread(), яка націлена на дані, закодовані в base64, для створення зловмисного сценарію та механізму виконання. Дані, закодовані в base64, позначені як «vv» і «zz». Вони декодуються для виконання певних шкідливих завдань, таких як запуск прихованого сценарію Python (`d.py`) без згоди користувача.

Основним завданням «fabrice» є викрадення облікових даних AWS. Для цього пакет використовує бібліотеку `boto3`, щоб збирати доступи до AWS і секретні ключі, які потім передаються на віддалений сервер. Отримавши ці облікові дані, зловмисники потенційно розблокують доступ до конфіденційних ресурсів на хмарній платформі.

Група дослідження Socket вже повідомила про шкідливий пакет команді PyPI для подальшого видалення. Socket закликає розробників залишатися пильними, ретельно перевіряти залежності та використовувати інструменти виявлення загроз, щоб запобігти будь-яким несанкціонованим вторгненням у критичні середовища.