Команда експертів з кібербезпеки компанії Socket виявила критичну загрозу в репозиторії Python Package Index (PyPI). Шкідливий пакет fabrice, який імітував популярну бібліотеку fabric для віддаленого виконання команд, непомітно здійснював крадіжку облікових даних Amazon Web Services (AWS) протягом майже трьох років. За цей період пакет було завантажено понад 37 100 разів, що свідчить про масштабність потенційної компрометації.
Механізм проникнення та маскування
Зловмисники застосували техніку тайпсквотингу – створення пакету з назвою, що візуально схожа на легітимну бібліотеку. Оригінальний пакет fabric, який використовується для віддаленого виконання shell-команд через SSH, має понад 202 мільйони завантажень та широко застосовується розробниками. Шкідливий клон fabrice експлуатував цю популярність для розповсюдження малware.
Особливості функціонування шкідливого коду
Дослідження показало, що малware використовує різні вектори атаки залежно від операційної системи жертви. На Linux-системах відбувається завантаження, декодування та виконання чотирьох різних shell-скриптів з віддаленого сервера. Для Windows-систем активується багатоетапний механізм зараження з двома окремими шкідливими компонентами.
Специфіка атаки на Windows-системи
У Windows шкідливий код реалізує складну схему інфікування. VBScript-файл p.vbs виступає початковим завантажувачем, який запускає прихований Python-скрипт d.py з директорії Downloads. Додатковий Python-модуль завантажує виконуваний файл під виглядом chrome.exe та встановлює його через планувальник завдань Windows з інтервалом запуску 15 хвилин.
Механізм викрадення даних AWS
Основною метою шкідливого пакету було викрадення облікових даних Amazon Web Services. Для цього використовувався Boto3 AWS SDK для Python, через який здійснювався збір ключів доступу. Викрадена інформація передавалася на командно-контрольний сервер зловмисників для подальшого використання.
Цей інцидент демонструє критичну важливість ретельної перевірки сторонніх пакетів та бібліотек у процесі розробки. Рекомендується впровадити комплексний підхід до безпеки, включаючи використання інструментів аналізу залежностей, регулярний аудит безпеки проєктів та верифікацію джерел завантаження пакетів. Особливу увагу слід приділяти пакетам з назвами, схожими на популярні бібліотеки, оскільки вони часто використовуються у шкідливих кампаніях. Впровадження цих заходів допоможе значно знизити ризики компрометації корпоративних ресурсів через ланцюжок поставок програмного забезпечення.
