Siber güvenlik araştırmacıları, Python Paket Dizininde (PyPI) üç yılı aşkın süredir binlerce indirmeye ulaşan ve geliştiricilerin Amazon Web Hizmetleri (AWS) kimlik bilgilerini gizlice sızdıran kötü amaçlı bir paket keşfettiler.
Söz konusu paket “uydurmak,” olarak bilinen popüler bir Python kütüphanesinin yazım hatasıkumaş“, kabuk komutlarını SSH üzerinden uzaktan yürütmek için tasarlanmıştır.
Meşru paket 202 milyonun üzerinde indirme sayısına sahipken, kötü amaçlı paketin indirildi bugüne kadar 37.100’den fazla kez. Yazının yazıldığı an itibarıyla “fabrice” hâlâ PyPI’den indirilebilir. İlk olarak Mart 2021’de yayınlandı.
Güvenlik firması Socket, yazım hatası paketinin “kimlik bilgilerini çalan, arka kapılar oluşturan ve platforma özel komut dosyalarını çalıştıran yükleri” birleştirerek “kumaş” ile ilişkili güveni istismar etmek üzere tasarlandığını belirtti. söz konusu.
“Fabrice”, kurulu olduğu işletim sistemine bağlı olarak kötü amaçlı eylemler gerçekleştirmek üzere tasarlanmıştır. Linux makinelerinde, harici bir sunucudan dört farklı kabuk betiğini indirmek, kodunu çözmek ve yürütmek için özel bir işlev kullanır (“89.44.9″)[.]227”).
Windows çalıştıran sistemlerde, iki farklı veri (bir Visual Basic Komut Dosyası (“p.vbs”) ve bir Python komut dosyası) çıkarılır ve yürütülür; ilki, İndirilenler klasöründe saklanan gizli bir Python komut dosyasını (“d.py”) çalıştırır. .
Güvenlik araştırmacıları Dhanesh Dodia, Sambarathi Sai ve Dwijay Chintakunta, “Bu VBScript, Python betiğinin saldırgan tarafından tasarlandığı şekilde komutları yürütmesine veya daha fazla veri yüklemesi başlatmasına olanak tanıyan bir başlatıcı işlevi görüyor.” dedi.
Diğer Python betiği, aynı uzak sunucudan kötü amaçlı bir yürütülebilir dosyayı indirmek, İndirilenler klasörüne “chrome.exe” olarak kaydetmek, ikili dosyayı 15 dakikada bir çalıştırmak için zamanlanmış görevleri kullanarak kalıcılığı ayarlamak ve son olarak “d” dosyasını silmek için tasarlanmıştır. .py” dosyası.
Paketin nihai hedefi, işletim sistemi ne olursa olsun, kimlik bilgileri hırsızlığı, AWS erişimini ve gizli anahtarları ele geçirmek gibi görünüyor. Boto3 Python için AWS Yazılım Geliştirme Kiti (SDK) ve bilgilerin sunucuya geri sızdırılması.
Araştırmacılar, “Saldırgan, AWS anahtarlarını toplayarak potansiyel olarak hassas bulut kaynaklarına erişim kazanıyor” dedi. “Fabrika paketi, güvenilir yapı kitaplığını taklit etmek ve hem Linux hem de Windows sistemlerindeki hassas kimlik bilgilerine yetkisiz erişim sağlayarak şüphelenmeyen geliştiricilerden yararlanmak için hazırlanmış karmaşık bir yazım hatası saldırısını temsil ediyor.”
Güncelleme
“Fabrice” paketi artık PyPI deposundan indirilemez.
