Pacote PyPi com mais de 37 mil downloads rouba credenciais da AWS

O pacote “fabrice” está disponível no repositório PyPi desde 2021, acumulando um número elevado de downloads devido ao typosquatting, uma prática que visa enganar os usuários ao se passar pelo popular “fabric”, com mais de 200 milhões de downloads. Segundo especialistas, o “fabrice” conseguiu permanecer indetectado por tanto tempo porque ferramentas avançadas de varredura foram implementadas no PyPi apenas após sua submissão inicial, e poucas conduziram escaneamentos retroativos.

Esse pacote malicioso foi desenvolvido para atuar de forma distinta dependendo do sistema operacional em que é executado. No Linux, o “fabrice” cria um diretório oculto em “~/.local/bin/vscode” para armazenar scripts shell divididos em múltiplos arquivos, recuperados de um servidor externo. Esses scripts são decodificados, recebem permissões de execução e possibilitam ao invasor executar comandos com privilégios de usuário. No Windows, o pacote baixa um payload codificado em base64, com um VBScript responsável por lançar um script Python oculto. Este script, por sua vez, obtém um executável malicioso que é salvo na pasta de downloads da vítima e agenda uma tarefa para execução a cada 15 minutos, garantindo persistência mesmo após reinicializações.

Independentemente do sistema operacional, o objetivo principal do “fabrice” é roubar credenciais da AWS utilizando o “boto3”, SDK oficial da AWS para Python, o que possibilita interação e gerenciamento de sessões com a plataforma. Ao inicializar uma sessão com o boto3, as credenciais da AWS são automaticamente recuperadas do ambiente, de metadados de instâncias ou outras fontes configuradas. Os invasores então exfiltram as chaves roubadas para um servidor VPN, dificultando o rastreamento do destino.