Un package Python malveillant nommé « fabrice » est présent dans l’Index des packages Python (PyPI) depuis 2021, volant les informations d’identification d’Amazon Web Services à des développeurs sans méfiance.
Selon la société de sécurité des applications Socket, le package a été téléchargé plus de 37 000 fois et exécute des scripts spécifiques à la plate-forme pour Windows et Linux.
Le grand nombre de téléchargements est représenté par fabrice typosquattant le package légitime de gestion de serveur distant SSH « FABRIC », une bibliothèque très populaire avec plus de 200 millions de téléchargements.
Un expert a expliqué à Breachtrace que fabrice n’a pas été détecté pendant si longtemps car des outils d’analyse avancés ont été déployés après sa soumission initiale sur PyPI, et très peu de solutions ont effectué des analyses rétroactives.
Comportement spécifique au système d’exploitation
Le package fabrice est conçu pour effectuer des actions en fonction du système d’exploitation sur lequel il s’exécute.
Sous Linux, il configure un répertoire caché à’~/.local / bin’ vscode ‘ pour stocker des scripts shell codés divisés en plusieurs fichiers, qui sont récupérés à partir d’un serveur externe (89.44.9[.]227).
Les scripts shell sont décodés et bénéficient d’autorisations d’exécution, permettant à l’attaquant d’exécuter des commandes avec les privilèges de l’utilisateur, expliquent les chercheurs.
Sous Windows, fabrice télécharge une charge utile codée (base64) qui est un VBScript (p. vbs) créé pour lancer un script Python caché (d.py).
Le script Python est responsable de l’obtention d’un exécutable malveillant (‘chrome.exe’) qui est déposé dans le dossier Téléchargements de la victime. Son but est de planifier l’exécution d’une tâche Windows toutes les 15 minutes, pour assurer la persistance entre les redémarrages.
Vol d’informations d’identification AWS
Quel que soit le système d’exploitation, l’objectif principal de fabrice est de voler les informations d’identification AWS à l’aide de « boto3 », le SDK Python officiel pour Amazon Web Services, permettant l’interaction et la gestion des sessions avec la plate-forme.
Une fois qu’une session Boto3 est initialisée, elle extrait automatiquement les informations d’identification AWS de l’environnement, des métadonnées d’instance ou d’autres sources configurées.
Les attaquants exfiltrent ensuite les clés volées vers un serveur VPN (exploité par M247 à Paris), ce qui rend le traçage de la destination plus difficile.
Atténuer le risque de typosquattage est possible lorsque les utilisateurs vérifient les packages téléchargés à partir de PyPI. Une autre option est des outils spécifiquement créés pour détecter et bloquer de telles menaces.
En termes de protection des référentiels AWS contre les accès non autorisés, les administrateurs doivent envisager AWS Identity and Access Management (IAM) pour gérer les autorisations sur les ressources.