Ein äußerst kritischer Sicherheitsvorfall erschüttert die Python-Entwicklergemeinschaft: Sicherheitsforscher von Socket haben einen gezielten Angriff auf AWS-Zugangsdaten aufgedeckt, der sich über fast drei Jahre erstreckte. Ein als „fabrice“ getarntes schadhaftes PyPI-Paket, das die populäre SSH-Bibliothek „fabric“ imitierte, wurde mehr als 37.100 Mal heruntergeladen und kompromittierte systematisch AWS-Credentials ahnungsloser Entwickler.

Sophisticated Täuschungsmanöver durch Typosquatting

Die Angreifer nutzten eine raffinierte Form des Typosquattings, indem sie ihr schadhaftes Paket als „fabrice“ registrierten – eine subtile Variation des legitimen „fabric“-Pakets, das mit über 202 Millionen Downloads zu den meistgenutzten Python-Bibliotheken zählt. Diese Taktik zielte gezielt auf Entwickler ab, die sich bei der Paketinstallation verschreiben könnten.

Plattformspezifische Angriffsvektoren

Die Malware wurde mit einer hochentwickelten, plattformspezifischen Architektur konzipiert. Auf Linux-Systemen führt sie vier verschiedene Shell-Skripte aus, die von einem Remote-Server nachgeladen werden. Windows-Systeme werden durch eine zweistufige Payload angegriffen, bestehend aus einem VBScript-Launcher und einem Python-Schadcode.

Windows-spezifische Infiltrationstechnik

Auf Windows-Systemen implementiert die Malware einen besonders ausgeklügelten Infektionsmechanismus: Ein VBScript-Launcher aktiviert versteckt einen Python-Skript (d.py) aus dem Downloads-Verzeichnis. Anschließend wird eine getarnte ausführbare Datei als „chrome.exe“ heruntergeladen und über den Windows Task Scheduler mit 15-minütigen Ausführungsintervallen persistent gemacht.

AWS-Credential-Exfiltration als Hauptziel

Der Angriff fokussierte sich auf die Extraktion von AWS-Zugangsdaten mittels des Boto3 AWS SDK für Python. Diese hochsensiblen Credentials wurden systematisch gesammelt und an Command-and-Control-Server der Angreifer übermittelt, was potenziell zu massiven Kompromittierungen von AWS-Infrastrukturen führen konnte.

Dieser Vorfall unterstreicht die dringende Notwendigkeit verbesserter Sicherheitsmaßnahmen im PyPI-Ökosystem. Entwickler sollten zwingend automatisierte Dependency-Scanning-Tools einsetzen, verdächtige Paketnamen kritisch prüfen und ein mehrstufiges Verifizierungssystem für externe Abhängigkeiten implementieren. Die Verwendung privater Paket-Repositories und die regelmäßige Überprüfung der AWS-Zugriffsprotokollierung können zusätzlichen Schutz bieten. Organisationen wird empfohlen, ihre CI/CD-Pipelines um automatisierte Sicherheitschecks zu erweitern und strikte Policies für die Integration von Third-Party-Komponenten zu etablieren.