Рубріки: Новини

Пакет Python «fabrice» викрадає облікові дані розробників

Дмитро Сімагін

Експерти компанії Socket виявили шкідливий пакет Python під назвою «fabrice», який видає себе за популярну бібліотеку автоматизації SSH «fabric» і краде облікові дані розробників на платформі AWS. Як повідомляє Developer-Tech, з моменту своєї появи в репозиторії PyPI у 2021 році «fabrice» має понад 37 000 завантажень.

Легальна бібліотека «fabric», створена розробником bitprophet, має понад 201 мільйон завантажень. Однак фейковий «fabrice» прагне використати довіру мільйонів розробників для крадіжки їхніх облікових даних і створення бекдорів.

Зловмисна ​​діяльність «fabrice» поширена як у системах Linux, так і в Windows. Наприклад, у Linux «fabrice» використовує функцію під назвою linuxThread() для завантаження, декодування та виконання сценаріїв із зовнішнього сервера. Шкідливий пакет, який спеціально націлений на приховані каталоги, використовує методи обфускації, щоб уникнути виявлення.

Функція linuxThread() намагається створити прихований каталог (`~/.local/bin/vscode`) для зберігання завантажених шкідливих корисних даних, що ускладнює для користувачів виявлення будь-яких аномалій.

Пакет використовує обфусцовану URL-адресу, зібрану за допомогою конкатенації рядків, для підключення до IP-адреси (89.44.9.227, пов’язаної з сервером VPN M247 у Парижі) для завантаження сценаріїв. Отриманий текст потім аналізується на кілька виконуваних файлів, що зберігаються в прихованому каталозі.

Встановлюючи дозволи на виконання, функція запускає один із цих сценаріїв (`per.sh`), який потенційно дозволяє зловмисникам виконувати команди з привілеями користувача.

Для жертв, які працюють на платформі Windows, «fabrice» використовує функцію winThread(), яка націлена на дані, закодовані в base64, для створення зловмисного сценарію та механізму виконання. Дані, закодовані в base64, позначені як «vv» і «zz». Вони декодуються для виконання певних шкідливих завдань, таких як запуск прихованого сценарію Python (`d.py`) без згоди користувача.

Основним завданням «fabrice» є викрадення облікових даних AWS. Для цього пакет використовує бібліотеку `boto3`, щоб збирати доступи до AWS і секретні ключі, які потім передаються на віддалений сервер. Отримавши ці облікові дані, зловмисники потенційно розблокують доступ до конфіденційних ресурсів на хмарній платформі.

Група дослідження Socket вже повідомила про шкідливий пакет команді PyPI для подальшого видалення. Socket закликає розробників залишатися пильними, ретельно перевіряти залежності та використовувати інструменти виявлення загроз, щоб запобігти будь-яким несанкціонованим вторгненням у критичні середовища.

 

Останні статті

Роботу простору MacPaw Space призупинено через руйнування після російської ракетної атаки

CEO MacPaw Олександр Косован повідомив, що компанія вирішила призупинити роботу простору MacPaw Space у Києві.…

30.04.2025

В Україні «зростає бізнес» з продажу особистих даних фейковим розробникам з КНДР — директор Upwork

За словами Кріса Горна, директора фріланс-біржі Upwork, в Україні «зростає бізнес» з продажу особистих даних…

30.04.2025

Розробники зляться, що JetBrains видаляє погані відгуки про AI Assistant

Нещодавнє оновлення віртуального помічника AI Assistant стало причиною конфлікту навколо оцінки цього програмного продукту з…

30.04.2025

Meta випустила Llama API, який забезпечує рекордну швидкість виведення даних

На конференції LlamaCon компанія Meta зробила кілька анонсів та представила інструменти, які мають зробити сімейство…

30.04.2025

З 2024 року кількість додатків у Google Play зменшилася на 47%

За даними аналітичної компанії Appfigures, з початку 2024 року кількість мобільних застосунків, розміщених на маркетплейсі…

30.04.2025

Microsoft: до 30% коду компанії написано штучним інтелектом

CEO Microsoft Сатья Наделла заявив, що 20-30% коду в репозиторіях компанії написано програмним забезпеченням на…

30.04.2025