一个名为 “fabrice” 的恶意Python 包自2021年起就出现在 PyPI 中，从不知情的开发人员手中窃取 Amazon Web Services 的凭据。

应用安全公司Socket提到，该包的下载量已超过3.7万次，并在 Windows 和 Linux 系统上执行特定脚本。该恶意包 fabrice 是对合法 SSH 远程服务器管理包 “fabric” 的typosquatting。该管理包是一款非常热门的库，下载量超过2亿次。

一名专家解释称，fabrice 这么久仍未被检测到是因为高阶的扫描工具在第一次提交后就被部署，非常少的解决方案能够做到追溯扫描。

OS特定行为

Fabrice 包旨在根据所运行的操作系统执行操作。在 Linux 系统上，它在 ‘~/.local/bin/vscode’ 处设立隐藏目录来存储被分割成多份文件的编码的shell 脚本，这些文件可从外部服务器中检索。这些shell 脚本之后被解码并授予执行权限，导致攻击者以用户权限执行命令。

在Windows 系统上，fabrice 下载一份编码的payload (base64)，即一份 VBScript (p.vbs) 来启动隐藏的 Python 脚本 (d.py)。该Python 脚本负责获得笔试放在受害者“下载”文件夹中的恶意可执行文件 (‘chrome.exe’)，目的是调度 Windows 任务，每隔15分钟执行一次来确保重启之后的可持久性。

盗取AWS凭据

无论在何种操作系统上，fabrice 恶意包的首要目标是窃取使用 AWS 的官方 Python SDK “boto3” 的AWS凭据，从而允许以该平台的交互和会话管理。

一旦初始化 Boto3，它会自动从环境中拉取 AWS 凭据、实例元数据或其它配置来源。之后，攻击者将被盗密钥提取到 VPN 服务器（由位于巴黎的 M247操纵），从而导致对目的地的追溯更加困难。

用户可通过检查下载自 PyPI 的包来缓解风险，或者创建用于检测和拦截此类威胁的工具。为防止AWS 仓库遭越权访问，管理员应当考虑使用 AWS IAM 来管理资源权限。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~