Un package PyPI malveillant avec 37 000 téléchargements vole les clés AWS

Un package Python malveillant nommé « fabrice » est présent dans le Python Package Index (PyPI) depuis 2021, volant les informations d’identification Amazon Web Services à des développeurs sans méfiance.

Selon la société de sécurité des applications Socket, le package a été téléchargé plus de 37 000 fois et exécute des scripts spécifiques à la plate-forme pour Windows et Linux.

Le grand nombre de téléchargements s’explique par tissu typosquatter le package légitime de gestion de serveur distant SSH « fabric », une bibliothèque très populaire avec plus de 200 millions de téléchargements.

Publicité

Un expert a expliqué à BleepingComputer que tissu est resté indétectable pendant si longtemps car des outils d’analyse avancés ont été déployés après sa soumission initiale sur PyPI, et très peu de solutions ont effectué des analyses rétroactives.

Comportement spécifique au système d’exploitation

Le package fabrice est conçu pour effectuer des actions en fonction du système d’exploitation sur lequel il s’exécute.

Sous Linux, il configure un répertoire caché dans ‘~/.local/bin/vscode’ pour stocker les scripts shell codés divisés en plusieurs fichiers, qui sont récupérés à partir d’un serveur externe (89.44.9[.]227).

Les scripts shell sont décodés et bénéficient d’autorisations d’exécution, permettant à l’attaquant d’exécuter des commandes avec les privilèges de l’utilisateur, ont indiqué les chercheurs. expliquer.

Sous Windows, Fabrice télécharge une charge utile codée (base64) qui est un VBScript (p.vbs) créé pour lancer un script Python caché (d.py).

Le script Python est chargé d’obtenir un exécutable malveillant (« chrome.exe ») qui est déposé dans le dossier Téléchargements de la victime. Son objectif est de planifier l’exécution d’une tâche Windows toutes les 15 minutes, afin d’assurer la persistance lors des redémarrages.

Vol d’informations d’identification AWS

Quel que soit le système d’exploitation, l’objectif principal de Fabrice est de voler les informations d’identification AWS à l’aide de « boto3 », le SDK Python officiel pour Amazon Web Services, permettant l’interaction et la gestion de sessions avec la plateforme.

Une fois qu’une session Boto3 est initialisée, elle extrait automatiquement les informations d’identification AWS de l’environnement, des métadonnées d’instance ou d’autres sources configurées.

Les attaquants exfiltrent ensuite les clés volées vers un serveur VPN (exploité par M247 à Paris), ce qui rend plus difficile le traçage de la destination.

Fonction Python pour voler les informations d'identification AWS
Fonction Python pour voler les informations d’identification AWS Source : Prise

Atténuer le risque de typosquatting est possible lorsque les utilisateurs vérifient les packages téléchargés depuis PyPI. Une autre option est outils spécialement créé pour détecter et bloquer de telles menaces.

En termes de protection des référentiels AWS contre les accès non autorisés, les administrateurs doivent envisager AWS Identity and Access Management (IAM) pour gérer les autorisations sur les ressources.

5/5 - (232 votes)
Publicité
Article précédentGTA Online en novembre est la meilleure fonctionnalité du jeu
Article suivantLes astuces de productivité sont surestimées, déclare a16z VC qui a vendu sa propre startup pour 1,25 milliard de dollars
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici