Специалисты по кибербезопасности компании Socket выявили серьезную угрозу в репозитории Python Package Index (PyPI). Вредоносный пакет под названием fabrice, маскировавшийся под популярную библиотеку fabric, незаметно похищал учетные данные Amazon Web Services (AWS) на протяжении почти трех лет. За это время пакет был загружен более 37 100 раз.
Механизм работы вредоносного пакета
Злоумышленники использовали технику тайпсквоттинга, создав пакет с похожим названием fabrice вместо оригинального fabric. Легитимная библиотека fabric, предназначенная для удаленного выполнения shell-команд через SSH, имеет более 202 миллионов загрузок и пользуется большой популярностью среди разработчиков.
Особенности работы вредоносного кода
Исследователи обнаружили, что вредоносный пакет использует различные механизмы атаки в зависимости от операционной системы жертвы. На Linux-системах происходит загрузка, декодирование и выполнение четырех различных shell-скриптов с удаленного сервера. В Windows-системах активируются две отдельные вредоносные нагрузки: скрипт p.vbs и специальный Python-скрипт.
Функциональность в Windows-системах
В Windows вредоносный код использует многоступенчатую схему заражения. VBScript-файл действует как лаунчер, запускающий скрытый Python-скрипт d.py из папки Downloads. Дополнительный Python-скрипт загружает вредоносный исполняемый файл, маскируясь под chrome.exe, и устанавливает его в системе через планировщик задач с 15-минутным интервалом запуска.
Цели и последствия атаки
Основной целью вредоносного пакета являлось хищение учетных данных AWS. Для этого использовался Boto3 AWS Software Development Kit (SDK) для Python, через который происходил сбор ключей доступа. Вся похищенная информация передавалась на управляющий сервер злоумышленников.
Данный инцидент подчеркивает важность тщательной проверки используемых пакетов и библиотек. Разработчикам рекомендуется всегда верифицировать источники загружаемых пакетов, использовать инструменты анализа зависимостей и регулярно проводить аудит безопасности проектов. Особое внимание следует уделять пакетам с названиями, похожими на популярные библиотеки, так как они могут быть частью вредоносных кампаний.
