Investigadores de ciberseguridad han descubierto un paquete malicioso en Python Package Index (PyPI) que ha acumulado miles de descargas durante m\u00e1s de tres a\u00f1os mientras exfiltraba sigilosamente las credenciales de Amazon Web Services (AWS) de los desarrolladores.<\/p>\n
El paquete en cuesti\u00f3n es “fabrice<\/a>,” que escribe en cuclillas una biblioteca popular de Python conocida como “tela<\/a>,” que est\u00e1 dise\u00f1ado para ejecutar comandos de shell de forma remota a trav\u00e9s de SSH. <\/p>\n Si bien el paquete leg\u00edtimo tiene m\u00e1s de 202 millones de descargas, su contraparte maliciosa ha sido descargado<\/a> m\u00e1s de 37.100 veces hasta la fecha. Al momento de escribir este art\u00edculo, “fabrice” todav\u00eda est\u00e1 disponible para descargar desde PyPI. Se public\u00f3 por primera vez en marzo de 2021.<\/p>\n El paquete typosquatting est\u00e1 dise\u00f1ado para explotar la confianza asociada con la “tela”, incorporando “cargas \u00fatiles que roban credenciales, crean puertas traseras y ejecutan scripts espec\u00edficos de la plataforma”, seg\u00fan la firma de seguridad Socket. dicho<\/a>.<\/p>\n “Fabrice” est\u00e1 dise\u00f1ado para llevar a cabo sus acciones maliciosas en funci\u00f3n del sistema operativo en el que est\u00e1 instalado. En m\u00e1quinas Linux, utiliza una funci\u00f3n espec\u00edfica para descargar, decodificar y ejecutar cuatro scripts de shell diferentes desde un servidor externo (“89.44.9[.]227”).<\/p>\n En los sistemas que ejecutan Windows, se extraen y ejecutan dos cargas \u00fatiles diferentes: un script de Visual Basic (“p.vbs”) y un script de Python; el primero ejecuta un script de Python oculto (“d.py”) almacenado en la carpeta Descargas. . <\/p>\n “Este VBScript funciona como un iniciador, permitiendo que el script Python ejecute comandos o inicie m\u00e1s cargas \u00fatiles seg\u00fan lo dise\u00f1ado por el atacante”, dijeron los investigadores de seguridad Dhanesh Dodia, Sambarathi Sai y Dwijay Chintakunta.<\/p>\n El otro script de Python est\u00e1 dise\u00f1ado para descargar un ejecutable malicioso desde el mismo servidor remoto, guardarlo como “chrome.exe” en la carpeta Descargas, configurar la persistencia mediante tareas programadas para ejecutar el binario cada 15 minutos y, finalmente, eliminar el archivo “d”. Archivo .py”.<\/p>\n El objetivo final del paquete, independientemente del sistema operativo, parece ser el robo de credenciales, la recopilaci\u00f3n de claves secretas y de acceso a AWS mediante el boto3<\/a> Kit de desarrollo de software (SDK) de AWS para Python y exfiltraci\u00f3n de la informaci\u00f3n al servidor.<\/p>\n “Al recopilar claves de AWS, el atacante obtiene acceso a recursos de la nube potencialmente sensibles”, dijeron los investigadores. “El paquete fabrice representa un sofisticado ataque de typosquatting, dise\u00f1ado para hacerse pasar por la biblioteca confiable de fabric y explotar a desarrolladores desprevenidos obteniendo acceso no autorizado a credenciales confidenciales en sistemas Linux y Windows”.<\/p>\n <\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/11\/Se-encontro-el-paquete-malicioso-PyPI-Fabrice-robando-claves-de.png\")
<\/a><\/center><\/div>\n<\/a><\/center><\/div>\n