Veszélyes hamis Python csomag a PyPI-n

2024 November 13. 05:00   

Egy „fabrice” nevű rosszindulatú Python-csomagot fedeztek fel a Python Package Indexen (PyPI), amely komoly biztonsági fenyegetést jelent a fejlesztők és a szervezetek számára. Ez a csomag 2021 márciusa óta aktív, és több mint 37 000 letöltést gyűjtött össze, a typosquatting nevű technikát használva ki a felhasználók megtévesztésére.

A rosszindulatú csomag

A „Fabrice” csomag arra lett tervezve, hogy utánozza a népszerű és legális „fabric” könyvtárat, amelyet távoli parancsok SSH-n keresztüli végrehajtására használnak. Míg az eredeti „fabric” csomagnak több mint 202 millió letöltése van, a rosszindulatú „fabrice” csomag eddig több ezer felhasználót sikeresen megtévesztett és letöltésre késztetett.

Funkcionalitás és működés

A rosszindulatú csomag működése a célzott operációs rendszertől függően eltér:

Linux rendszeren:

  • Rejtett mappákat hoz létre a felhasználó home könyvtárában.

  • Kódolt shell szkripteket tölt le egy külső szerverről (89.44.9.227), majd futtatja őket.

  • Végrehajtási jogosultságot ad ezeknek a szkripteknek.

Windows rendszeren:

  • Letölt és futtat egy VBScriptet (p.vbs) és egy Python szkriptet (d.py).

  • A VBScript a rejtett Python szkript indítójaként működik.

  • Letölt egy rosszindulatú futtatható fájlt (chrome.exe) a Letöltések mappába.

  • Egy ütemezett feladat létrehozásával biztosítja a perzisztenciát, amely 15 percenként újra lefut.

Elsődleges cél

Függetlenül az operációs rendszertől, a „fabrice” csomag fő célja az AWS-hitelesítő adatok ellopása:

  • A Boto3 AWS SDK for Python-t használja az AWS hozzáférési és titkos kulcsok megszerzésére.

  • Az ellopott hitelesítő adatokat egy Párizsban, az M247 által üzemeltetett VPN-szerverre továbbítja, megnehezítve az adatmozgás nyomon követését.

Hatás és következmények

A csomag több mint három éves jelenléte a PyPI-n egy profi fenyegetést jelentő szervezetet sejtet a háttérben. Az AWS-hitelesítő adatok időbeni begyűjtésével a támadók:

  • Hozzáférést nyerhetnek érzékeny felhőforrásokhoz,

  • Létrehozhatnak egy kiterjedt, nagy értékű adathalmazt,

  • További támadások indítására használhatják az AWS-alapú infrastruktúrát,

  • Másodlagos hátsó ajtókat hozhatnak létre, vagy további káros kódokat telepíthetnek.

Védekezés és védelem

Az ilyen fenyegetések ellen a szakértők az alábbiakat javasolják:

  1. Mélyreható védelmi stratégiák bevezetése.

  2. Többfaktoros hitelesítés (MFA) használata.

  3. Az AWS-fiókok jogosultsági körének szűkítése.

  4. Olyan eszközök használata, amelyek képesek a kódfüggőségek gyanús viselkedésének észlelésére.

  5. A fejlesztők oktatása a biztonságos kódolási gyakorlatokról és a csomagválasztásról.

A „fabrice” csomag felfedezése rávilágít a szoftverellátási lánc biztonsági kockázataira, valamint a harmadik felektől származó csomagok használatakor szükséges fokozott éberség fontosságára a fejlesztési projektekben.