详细内容或原文请订阅后点击阅览
公众视野三年:PyPI 上的恶意包如何收集 37,000 次下载
网络威胁已渗透到数千名开发人员的代码中,但仍未被发现。
来源:安全实验室新闻频道网络威胁已渗透到数千名开发人员的代码中,但仍未被发现。
来自 Socket 公司的一组研究人员发现了一个名为“fabrice”的恶意 Python 包,它伪装成流行的“fabric”库。该软件包自 2021 年起出现在 PyPI 上,下载量超过 37K 次,悄悄窃取了开发人员的 AWS 凭证。
套接字 已找到 PyPI AWS这个由 bitprophet 开发的“fabric”库被世界各地的许多专业人士使用,下载量超过 2 亿次。然而,攻击者通过使用恶意代码创建类似物来利用其信任。 “fabrice”包窃取访问密钥、创建后门并根据操作系统执行命令。
在 Linux 上,恶意代码是通过 linuxThread() 函数执行的,该函数从远程服务器下载并执行脚本。隐藏目录用于存储下载的文件,使其难以检测。服务器地址被混淆,这有助于隐藏防病毒软件的恶意行为。
Linux在 Windows 上,系统使用 winThread() 函数进行感染,该函数会下载恶意可执行文件并创建任务来定期运行它们。这使得攻击者即使在重新启动后也能保持对受感染设备的访问。
窗口“fabrice”的主要目标是窃取 AWS 凭证。恶意代码使用 boto3 库提取密钥并将其发送到位于巴黎 VPN 上的服务器。这使得攻击者很难跟踪他们,并允许他们访问受害者的云资源。
为了确保安全,强烈鼓励开发人员使用 GitHub 专用的工具来自动检查依赖关系并识别可疑包。 Socket 团队已经通知 PyPI 该恶意软件包的存在,以便将其删除。
GitHub