توجد حزمة Python ضارة تسمى “fabrice” في مؤشر حزمة Python (PyPI) منذ عام 2021، وتقوم بسرقة بيانات اعتماد Amazon Web Services من المطورين المطمئنين.
وفقًا لشركة أمن التطبيقات “Socket”، فقد تم تنزيل الحزمة أكثر من 37000 مرة وتقوم بتنفيذ نصوص برمجية خاصة بالنظام الأساسي لنظامي التشغيل Windows وLinux.
يتم احتساب العدد الكبير من التنزيلات فابريسtyposquatting حزمة إدارة خادم SSH الشرعي عن بعد “Fabric”، وهي مكتبة مشهورة جدًا بأكثر من 200 مليون عملية تنزيل.
وأوضح أحد الخبراء لـ BleepingComputer أن ذلك فابريسظلت غير مكتشفة لفترة طويلة لأنه تم نشر أدوات المسح المتقدمة بعد تقديمها الأولي على PyPI، ولم يتم إجراء عمليات فحص بأثر رجعي إلا من خلال عدد قليل جدًا من الحلول.
السلوك الخاص بنظام التشغيل
تم تصميم حزمة Fabrice لتنفيذ الإجراءات وفقًا لنظام التشغيل الذي تعمل عليه.
في نظام التشغيل Linux، يقوم بإعداد دليل مخفي على “~/.local/bin/vscode” لتخزين نصوص shell المشفرة المقسمة إلى ملفات متعددة، والتي يتم استردادها من خادم خارجي (89.44.9)[.]227).
يتم فك تشفير نصوص shell ومنحها أذونات التنفيذ، مما يسمح للمهاجم بتنفيذ الأوامر بامتيازات المستخدم، كما يقول الباحثون.”https://socket.dev/blog/malicious-python-package-typosquats-fabric-ssh-library” الهدف=”_blank” rel=”nofollow noopener”> اشرح.
على نظام التشغيل Windows، يقوم فابريس بتنزيل حمولة مشفرة (base64) وهي عبارة عن VBScript (p.vbs) تم إنشاؤها لتشغيل برنامج Python النصي المخفي (d.py).
يكون برنامج Python النصي مسؤولاً عن الحصول على ملف ضار قابل للتنفيذ (‘chrome.exe’) يتم إسقاطه في مجلد التنزيلات الخاص بالضحية. والغرض منه هو جدولة مهمة Windows ليتم تنفيذها كل 15 دقيقة، لضمان الثبات عبر عمليات إعادة التشغيل.
سرقة بيانات اعتماد AWS
بغض النظر عن نظام التشغيل، فإن الهدف الأساسي لـ Fabrice هو سرقة بيانات اعتماد AWS باستخدام “boto3″، وهو Python SDK الرسمي لخدمات Amazon Web Services، مما يسمح بالتفاعل وإدارة الجلسة مع النظام الأساسي.
بمجرد تهيئة جلسة Boto3، فإنها تسحب تلقائيًا بيانات اعتماد AWS من البيئة، أو بيانات تعريف المثيل، أو المصادر الأخرى التي تم تكوينها.
يقوم المهاجمون بعد ذلك بتسريب المفاتيح المسروقة إلى خادم VPN (الذي يديره M247 في باريس)، مما يجعل تتبع الوجهة أكثر صعوبة.
المصدر: المقبس
من الممكن التخفيف من مخاطر الأخطاء المطبعية عندما يتحقق المستخدمون من الحزم التي تم تنزيلها من PyPI. خيار آخر هو”http://github.com/apps/socket-security” الهدف=”_blank” rel=”nofollow noopener”> الأدوات تم إنشاؤها خصيصًا لاكتشاف مثل هذه التهديدات وحظرها.
فيما يتعلق بحماية مستودعات AWS من الوصول غير المصرح به، يجب على المسؤولين مراعاة AWS Identity and Access Management (IAM) لإدارة أذونات الموارد.