![下载量达 37,000 次的恶意 PyPI 软件包窃取 AWS 密钥]( "下载量达 37,000 次的恶意 PyPI 软件包窃取 AWS 密钥")
自 2021 年以来,名为“fabrice”的恶意 Python 包就出现在 Python 包索引 (PyPI) 中,从毫无戒心的开发人员那里窃取了 Amazon Web Services 凭据。
据应用程序安全公司 Socket 称,该软件包已被下载超过 37,000 次,并执行针对 Windows 和 Linux 平台的特定脚本。
下载次数如此之多,是因为fabrice 抢注了合法的 SSH 远程服务器管理包“fabric”,而“fabric”是一个非常受欢迎的库,下载次数超过 2 亿次。
一位专家向 BleepingComputer 解释说,该fabrice 之所以长期未被发现,是因为在其首次提交到 PyPI 后就部署了先进的扫描工具,而且很少有解决方案进行追溯扫描。
fabrice 包被设计用来根据其运行的操作系统执行操作。
在 Linux 上,它在 '~/.local/bin/vscode' 设置一个隐藏目录,用于存储分成多个文件的编码 shell 脚本,这些脚本从外部服务器(89.44.9[.]227)检索。
研究人员解释说,Shell 脚本被解码并被授予执行权限,从而允许攻击者以用户的权限执行命令。
在 Windows 上,fabrice 下载一个编码的有效负载(base64),该有效负载是一个 VBScript(p.vbs),用于启动隐藏的 Python 脚本(d.py)。
Python 脚本负责获取恶意可执行文件(“chrome.exe”),并将其放入受害者的下载文件夹中。其目的是安排 Windows 任务每 15 分钟执行一次,以确保在重新启动后仍能保持持久性。
无论使用什么操作系统,fabrice 的主要目标都是使用“boto3”(Amazon Web Services 的官方 Python SDK)窃取 AWS 凭证,从而允许与平台进行交互和会话管理。
一旦 Boto3 会话初始化,它就会自动从环境、实例元数据或其他配置的源中提取 AWS 凭证。
随后,攻击者将窃取的密钥泄露给 VPN 服务器(由巴黎的 M247 运营),这使得追踪目的地变得更加困难。
![下载量达 37,000 次的恶意 PyPI 软件包窃取 AWS 密钥]( "下载量达 37,000 次的恶意 PyPI 软件包窃取 AWS 密钥")
当用户检查从 PyPI 下载的软件包时,可以减轻域名抢注的风险。另一种选择是使用专门为检测和阻止此类威胁而创建的工具。
在保护 AWS 存储库免受未经授权的访问方面,管理员应考虑使用 AWS 身份和访问管理 (IAM) 来管理对资源的权限。
信息来源:BleepingComputer
原文始发于微信公众号(犀牛安全):下载量达 37,000 次的恶意 PyPI 软件包窃取 AWS 密钥
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/3403678.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论