对于 Python 开发人员和云管理员来说,一个令人担忧的进展是,Socket 研究团队发现了一个名为 fabrice 的恶意软件包,它伪装成合法且广泛使用的 Fabric SSH 自动化库。自 2021 年在 PyPI 上发布以来,fabrice 已悄无声息地外泄了敏感的 AWS 凭据,影响了那些在不知情的情况下安装了该排印错误软件包的用户。fabrice 软件包的下载量已超过 37000 次,凸显了恶意软件在开源软件源中带来的持续风险。
恶意 fabrice 软件包采用了多种技术来交付其有效载荷,并针对 Linux 和 Windows 环境定制了不同的恶意操作:
在 Linux 系统上: 该软件包使用一个名为 linuxThread() 的函数从外部服务器下载并执行隐藏脚本。研究发现,“linuxThread()函数会创建一个隐藏目录(~/.local/bin/vscode)来存储下载的有效载荷”,从而使检测变得困难。此外,该软件包会连接到一个 IP 地址为 89.44.9.227 的 VPN 服务器来下载这些恶意脚本,并使用混淆技术来躲避检测。
在 Windows 系统上: Windows 版本使用 winThread() 函数,依赖于存储在变量 vv 和 zz 中的 base64 编码有效载荷。研究解释说,“vv 变量解码为 VBScript (p.vbs),运行隐藏的 Python 脚本 (d.py)”,然后下载更多恶意可执行文件。zz 脚本通过调度任务重新执行恶意代码来建立持久性,即使在系统重启后也能保持攻击的存在。
fabrice 的主要目的似乎是窃取 AWS 凭据。通过利用 boto3 库,该软件包可以从被入侵的环境中提取 AWS 访问和密钥。一旦捕获,这些凭据就会被传输到 VPN 端点,从而使受害者难以追踪外泄数据。正如报告所强调的,“通过收集 AWS 密钥,攻击者获得了对潜在敏感云资源的访问权限”,有可能将重要数据和云资源暴露给未经授权的访问。
该恶意软件的设计与平台无关,其 test() 函数可检查操作系统并执行相应的恶意线程。这一功能使恶意软件能够同时针对 Linux 和 Windows 用户,扩大了其影响范围。“报告指出:”这种与平台无关的触发器确保攻击不受操作系统的影响,从而扩大了其潜在影响。
Typosquatting 攻击,即恶意软件包的命名与可信库相似,仍然是开源软件库中一个日益增长的风险。由 bitprophet 创建的合法 Fabric 库拥有超过 2.01 亿次下载,受到开发者的广泛信任。fabrice 背后的攻击者利用了这种信任,在毫无戒备的系统中大肆窃取凭据并安装后门。
文章原文链接:https://www.anquanke.com/post/id/301657