Исследователи обнаружили в Python Package Index (PyPI) вредоносный пакет, который незаметно похищал учетные данные Amazon Web Services (AWS) у разработчиков. Пакет оставался незамеченным около трех лет, и за это время его успели загрузить тысячи раз.
Вредоносный пакет назывался fabrice (уже удален из PyPI), то есть с помощью тайпсквоттинга маскировался под популярную Python-библиотеку fabric, предназначенную для удаленного выполнения шелл-команд через SSH.
Тогда как легитимный пакет насчитывает более 202 млн загрузок, его вредоносный аналог, опубликованный еще в марте 2021 года, был скачан более 37 100 раз.
Как сообщают исследователи из ИБ-компании Socket, fabrice содержал «полезные нагрузки, которые похищают учетные данные, создают бэкдоры и выполняют предназначенные для определенных платформ скрипты».
«Fabrice выполняет вредоносные действия в зависимости от операционной системы, в которой установлен. На Linux-машинах он использует специальную функциональность для загрузки, декодирования и выполнения четырех различных shell-скриптов с внешнего сервера (89.44.9[.]227), — пишут специалисты. — В системах под управлением Windows извлекаются и выполняются две разные полезные нагрузки: скрипт p.vbs и Python-скрипт, причем первый также запускает скрытый Python-скрипт (d.py), хранящийся в папке Downloads».
Упомянутый VBScript работает как лаунчер, позволяя Python-скрипту выполнять команды или задействовать дальнейшую полезную нагрузку. Другой Python-скрипт предназначен для загрузки вредоносного исполняемого файла с уже упомянутого удаленного сервера, сохранения его под именем chrome.exe в папке Downloads, закрепления в системе с помощью запланированных задач (для запуска бинарника каждые 15 минут) и удаления файла d.py в конце.
Конечной целью малвари, вне зависимости от операционной системы, являлась кража учетных данных: сбор ключей от AWS с помощью Boto3 AWS Software Development Kit (SDK) для Python и передача собранной информации на управляющий сервер злоумышленников.
