Egy „fabrice” nevű rosszindulatú Python-csomagot fedeztek fel a Python Package Indexen (PyPI), amely komoly biztonsági fenyegetést jelent a fejlesztők és a szervezetek számára. Ez a csomag 2021 márciusa óta aktív, és több mint 37 000 letöltést gyűjtött össze, a typosquatting nevű technikát használva ki a felhasználók megtévesztésére.
A rosszindulatú csomag
A „Fabrice” csomag arra lett tervezve, hogy utánozza a népszerű és legális „fabric” könyvtárat, amelyet távoli parancsok SSH-n keresztüli végrehajtására használnak. Míg az eredeti „fabric” csomagnak több mint 202 millió letöltése van, a rosszindulatú „fabrice” csomag eddig több ezer felhasználót sikeresen megtévesztett és letöltésre késztetett.
Funkcionalitás és működés
A rosszindulatú csomag működése a célzott operációs rendszertől függően eltér:
Linux rendszeren:
Rejtett mappákat hoz létre a felhasználó home könyvtárában.
Kódolt shell szkripteket tölt le egy külső szerverről (89.44.9.227), majd futtatja őket.
Végrehajtási jogosultságot ad ezeknek a szkripteknek.
Windows rendszeren:
Letölt és futtat egy VBScriptet (p.vbs) és egy Python szkriptet (d.py).
A VBScript a rejtett Python szkript indítójaként működik.
Letölt egy rosszindulatú futtatható fájlt (chrome.exe) a Letöltések mappába.
Egy ütemezett feladat létrehozásával biztosítja a perzisztenciát, amely 15 percenként újra lefut.
Elsődleges cél
Függetlenül az operációs rendszertől, a „fabrice” csomag fő célja az AWS-hitelesítő adatok ellopása:
A Boto3 AWS SDK for Python-t használja az AWS hozzáférési és titkos kulcsok megszerzésére.
Az ellopott hitelesítő adatokat egy Párizsban, az M247 által üzemeltetett VPN-szerverre továbbítja, megnehezítve az adatmozgás nyomon követését.
Hatás és következmények
A csomag több mint három éves jelenléte a PyPI-n egy profi fenyegetést jelentő szervezetet sejtet a háttérben. Az AWS-hitelesítő adatok időbeni begyűjtésével a támadók:
Hozzáférést nyerhetnek érzékeny felhőforrásokhoz,
Létrehozhatnak egy kiterjedt, nagy értékű adathalmazt,
További támadások indítására használhatják az AWS-alapú infrastruktúrát,
Másodlagos hátsó ajtókat hozhatnak létre, vagy további káros kódokat telepíthetnek.
Védekezés és védelem
Az ilyen fenyegetések ellen a szakértők az alábbiakat javasolják:
Mélyreható védelmi stratégiák bevezetése.
Többfaktoros hitelesítés (MFA) használata.
Az AWS-fiókok jogosultsági körének szűkítése.
Olyan eszközök használata, amelyek képesek a kódfüggőségek gyanús viselkedésének észlelésére.
A fejlesztők oktatása a biztonságos kódolási gyakorlatokról és a csomagválasztásról.
A „fabrice” csomag felfedezése rávilágít a szoftverellátási lánc biztonsági kockázataira, valamint a harmadik felektől származó csomagok használatakor szükséges fokozott éberség fontosságára a fejlesztési projektekben.
