Des chercheurs en cybersécurité ont découvert un package malveillant sur Python Package Index (PyPI) qui a accumulé des milliers de téléchargements pendant plus de trois ans tout en exfiltrant furtivement les informations d’identification Amazon Web Services (AWS) des développeurs.
Le forfait en question est « tissu, » qui typosquatte une bibliothèque Python populaire connue sous le nom de « tissu, » conçu pour exécuter des commandes shell à distance via SSH.
Alors que le package légitime compte plus de 202 millions de téléchargements, son homologue malveillant a été téléchargé plus de 37 100 fois à ce jour. Au moment de la rédaction, « fabrice » est toujours disponible en téléchargement depuis PyPI. Il a été publié pour la première fois en mars 2021.
Le package de typosquatting est conçu pour exploiter la confiance associée au « fabric », incorporant « des charges utiles qui volent des informations d’identification, créent des portes dérobées et exécutent des scripts spécifiques à la plate-forme », a déclaré la société de sécurité Socket. dit.
« Fabrice » est conçu pour mener à bien ses actions malveillantes en fonction du système d’exploitation sur lequel il est installé. Sur les machines Linux, il utilise une fonction spécifique pour télécharger, décoder et exécuter quatre scripts shell différents à partir d’un serveur externe (« 89.44.9[.]227 »).
Sur les systèmes exécutant Windows, deux charges utiles différentes – un script Visual Basic (« p.vbs ») et un script Python – sont extraites et exécutées, la première exécutant un script Python caché (« d.py ») stocké dans le dossier Téléchargements. .
« Ce VBScript fonctionne comme un lanceur, permettant au script Python d’exécuter des commandes ou de lancer d’autres charges utiles telles que conçues par l’attaquant », ont déclaré les chercheurs en sécurité Dhanesh Dodia, Sambarathi Sai et Dwijay Chintakunta.
L’autre script Python est conçu pour télécharger un exécutable malveillant à partir du même serveur distant, l’enregistrer sous « chrome.exe » dans le dossier Téléchargements, configurer la persistance à l’aide de tâches planifiées pour exécuter le binaire toutes les 15 minutes et enfin supprimer le « d .py ».
L’objectif final du package, quel que soit le système d’exploitation, semble être le vol d’informations d’identification, rassemblant les accès AWS et les clés secrètes à l’aide du Boto3 AWS Software Development Kit (SDK) pour Python et exfiltration des informations vers le serveur.
« En collectant les clés AWS, l’attaquant accède à des ressources cloud potentiellement sensibles », ont déclaré les chercheurs. « Le package Fabrice représente une attaque de typosquatting sophistiquée, conçue pour usurper l’identité de la bibliothèque Fabric de confiance et exploiter des développeurs peu méfiants en obtenant un accès non autorisé à des informations d’identification sensibles sur les systèmes Linux et Windows. »