Investigadores de ciberseguridad han descubierto un paquete malicioso en Python Package Index (PyPI) que ha acumulado miles de descargas durante más de tres años mientras exfiltraba sigilosamente las credenciales de Amazon Web Services (AWS) de los desarrolladores.
El paquete en cuestión es “fabrice”, que escribe una popular biblioteca de Python conocida como “fabric”, que está diseñada para ejecutar comandos de shell de forma remota a través de SSH.
Mientras que el paquete legítimo tiene más de 202 millones de descargas, su homólogo malicioso se ha descargado más de 37.100 veces hasta la fecha. Al momento de escribir este artículo, “fabrice” todavía está disponible para descargar desde PyPI. Se publicó por primera vez en marzo de 2021.
El paquete typosquatting está diseñado para explotar la confianza asociada con “fabric”, incorporando “cargas útiles que roban credenciales, crean puertas traseras y ejecutan scripts específicos de la plataforma”, dijo la firma de seguridad Socket.
“Fabrice” está diseñado para llevar a cabo sus acciones maliciosas en función del sistema operativo en el que está instalado. En máquinas Linux, utiliza una función específica para descargar, decodificar y ejecutar cuatro scripts de shell diferentes desde un servidor externo (“89.44.9(.)227”).
En los sistemas que ejecutan Windows, se extraen y ejecutan dos cargas útiles diferentes: un script de Visual Basic (“p.vbs”) y un script de Python; el primero ejecuta un script de Python oculto (“d.py”) almacenado en la carpeta Descargas. .
“Este VBScript funciona como un iniciador, permitiendo que el script Python ejecute comandos o inicie más cargas útiles según lo diseñado por el atacante”, dijeron los investigadores de seguridad Dhanesh Dodia, Sambarathi Sai y Dwijay Chintakunta.
El otro script de Python está diseñado para descargar un ejecutable malicioso desde el mismo servidor remoto, guardarlo como “chrome.exe” en la carpeta Descargas, configurar la persistencia mediante tareas programadas para ejecutar el binario cada 15 minutos y, finalmente, eliminar el archivo “d”. Archivo .py”.
El objetivo final del paquete, independientemente del sistema operativo, parece ser el robo de credenciales, recopilar claves secretas y de acceso a AWS utilizando el kit de desarrollo de software (SDK) Boto3 AWS para Python y filtrar la información al servidor.
“Al recopilar claves de AWS, el atacante obtiene acceso a recursos de la nube potencialmente sensibles”, dijeron los investigadores. “El paquete fabrice representa un sofisticado ataque de typosquatting, diseñado para hacerse pasar por la biblioteca confiable de fabric y explotar a los desarrolladores desprevenidos obteniendo acceso no autorizado a credenciales confidenciales en sistemas Linux y Windows”.
Actualizar
El paquete “fabrice” ya no está disponible para descargar desde el repositorio de PyPI.
