Investigadores de ciberseguridad han descubierto un paquete malicioso en Python Package Index (PyPI) que ha acumulado miles de descargas durante más de tres años mientras exfiltraba sigilosamente las credenciales de Amazon Web Services (AWS) de los desarrolladores.
El paquete en cuestión es “fabrice,” que escribe en cuclillas una biblioteca popular de Python conocida como “tela,” que está diseñado para ejecutar comandos de shell de forma remota a través de SSH.
Si bien el paquete legítimo tiene más de 202 millones de descargas, su contraparte maliciosa ha sido descargado más de 37.100 veces hasta la fecha. Al momento de escribir este artículo, “fabrice” todavía está disponible para descargar desde PyPI. Se publicó por primera vez en marzo de 2021.
El paquete typosquatting está diseñado para explotar la confianza asociada con la “tela”, incorporando “cargas útiles que roban credenciales, crean puertas traseras y ejecutan scripts específicos de la plataforma”, según la firma de seguridad Socket. dicho.
“Fabrice” está diseñado para llevar a cabo sus acciones maliciosas en función del sistema operativo en el que está instalado. En máquinas Linux, utiliza una función específica para descargar, decodificar y ejecutar cuatro scripts de shell diferentes desde un servidor externo (“89.44.9[.]227”).
En los sistemas que ejecutan Windows, se extraen y ejecutan dos cargas útiles diferentes: un script de Visual Basic (“p.vbs”) y un script de Python; el primero ejecuta un script de Python oculto (“d.py”) almacenado en la carpeta Descargas. .
“Este VBScript funciona como un iniciador, permitiendo que el script Python ejecute comandos o inicie más cargas útiles según lo diseñado por el atacante”, dijeron los investigadores de seguridad Dhanesh Dodia, Sambarathi Sai y Dwijay Chintakunta.
El otro script de Python está diseñado para descargar un ejecutable malicioso desde el mismo servidor remoto, guardarlo como “chrome.exe” en la carpeta Descargas, configurar la persistencia mediante tareas programadas para ejecutar el binario cada 15 minutos y, finalmente, eliminar el archivo “d”. Archivo .py”.
El objetivo final del paquete, independientemente del sistema operativo, parece ser el robo de credenciales, la recopilación de claves secretas y de acceso a AWS mediante el boto3 Kit de desarrollo de software (SDK) de AWS para Python y exfiltración de la información al servidor.
“Al recopilar claves de AWS, el atacante obtiene acceso a recursos de la nube potencialmente sensibles”, dijeron los investigadores. “El paquete fabrice representa un sofisticado ataque de typosquatting, diseñado para hacerse pasar por la biblioteca confiable de fabric y explotar a desarrolladores desprevenidos obteniendo acceso no autorizado a credenciales confidenciales en sistemas Linux y Windows”.
About the Author
