Executando verificação de segurança...
2

Pacote PyPi com mais de 37 mil downloads rouba credenciais da AWS

O pacote “fabrice” está disponível no repositório PyPi desde 2021, acumulando um número elevado de downloads devido ao typosquatting, uma prática que visa enganar os usuários ao se passar pelo popular “fabric”, com mais de 200 milhões de downloads. Segundo especialistas, o “fabrice” conseguiu permanecer indetectado por tanto tempo porque ferramentas avançadas de varredura foram implementadas no PyPi apenas após sua submissão inicial, e poucas conduziram escaneamentos retroativos.

Esse pacote malicioso foi desenvolvido para atuar de forma distinta dependendo do sistema operacional em que é executado. No Linux, o “fabrice” cria um diretório oculto em “~/.local/bin/vscode” para armazenar scripts shell divididos em múltiplos arquivos, recuperados de um servidor externo. Esses scripts são decodificados, recebem permissões de execução e possibilitam ao invasor executar comandos com privilégios de usuário. No Windows, o pacote baixa um payload codificado em base64, com um VBScript responsável por lançar um script Python oculto. Este script, por sua vez, obtém um executável malicioso que é salvo na pasta de downloads da vítima e agenda uma tarefa para execução a cada 15 minutos, garantindo persistência mesmo após reinicializações.

Independentemente do sistema operacional, o objetivo principal do “fabrice” é roubar credenciais da AWS utilizando o “boto3”, SDK oficial da AWS para Python, o que possibilita interação e gerenciamento de sessões com a plataforma. Ao inicializar uma sessão com o boto3, as credenciais da AWS são automaticamente recuperadas do ambiente, de metadados de instâncias ou outras fontes configuradas. Os invasores então exfiltram as chaves roubadas para um servidor VPN, dificultando o rastreamento do destino.

Carregando publicação patrocinada...
4

Ainda disponível em https://socket.dev/pypi/package/fabrice porém, o IP/Servidor origem dos payloads e captura de credenciais está fora do ar.

Screenshot com fundo branco

img


----------- hash MD5 ----------- --- path anf filename --  size (bytes)
ad5e5986fc9936aecfcde091b42ad4fc ./fabrice_1.0.0/group.py 12498
ad5e5986fc9936aecfcde091b42ad4fc ./fabrice_1.0.1/group.py 12498
ad5e5986fc9936aecfcde091b42ad4fc ./fabrice_1.0.2/group.py 12498
ad5e5986fc9936aecfcde091b42ad4fc ./fabrice_1.0.3/group.py 12498
ad5e5986fc9936aecfcde091b42ad4fc ./fabrice_1.0.4/group.py 12498
ad5e5986fc9936aecfcde091b42ad4fc ./fabrice_1.0.5/group.py 12498

8efb97de30f6c1b0dcbf8c5cbdcc5e39 ./fabrice_1.0.6/group.py 22054  -- tamanho a partir da v.1.0.6
24dd3289cd73c3db4f60327b9c55f3ed ./fabrice_1.0.7/group.py 22587
5ab480ebd89802a21636d3583d1935f5 ./fabrice_1.0.8/group.py 22587
334810a745e8fa8f310ced632465f589 ./fabrice_1.0.9/group.py 22708
4f6501896e4e433a0d44626a7062bb4b ./fabrice_1.1.0/group.py 25300
8a09557b6e3e6f075f5a6eb67edb2031 ./fabrice_1.1.1/group.py 26678
b18755454a951f687bf5fdd6e1b09777 ./fabrice_1.1.2/group.py 26870
d5f731a71707a593b99f33502ac6221e ./fabrice_1.1.3/group.py 26869

Para mais detalhes do arquivo group.py