VietNetwork.Vn

Các nhà nghiên cứu an ninh mạng đã phát hiện ra một gói phần mềm độc hại trên Python Package Index (PyPI) đã thu hút hàng nghìn lượt tải xuống trong hơn ba năm trong khi âm thầm đánh cắp thông tin đăng nhập Amazon Web Services (AWS) của các nhà phát triển.

Gói được đề cập là " fabrice ", một từ viết tắt của thư viện Python phổ biến có tên là " fabric ", được thiết kế để thực thi các lệnh shell từ xa qua SSH.


Trong khi gói hợp pháp có hơn 202 triệu lượt tải xuống, thì gói độc hại của nó đã được tải xuống hơn 37.100 lần cho đến nay. Tính đến thời điểm viết bài, "fabrice" vẫn có thể tải xuống từ PyPI. Lần đầu tiên nó được xuất bản vào tháng 3 năm 2021.

Công ty bảo mật Socket cho biết gói typosquatting được thiết kế để khai thác sự tin cậy liên quan đến "fabric", kết hợp "các phần mềm đánh cắp thông tin đăng nhập, tạo cửa hậu và thực thi các tập lệnh dành riêng cho nền tảng".

"Fabrice" được thiết kế để thực hiện các hành động độc hại dựa trên hệ điều hành mà nó được cài đặt. Trên máy Linux, nó sử dụng một chức năng cụ thể để tải xuống, giải mã và thực thi bốn tập lệnh shell khác nhau từ máy chủ bên ngoài ("89.44.9[.]227").

Trên các hệ thống chạy Windows, hai phần tải trọng khác nhau – Visual Basic Script ("p.vbs") và một tập lệnh Python – được trích xuất và thực thi, trong đó phần tải trọng đầu tiên chạy một tập lệnh Python ẩn ("d.py") được lưu trữ trong thư mục Tải xuống.

Các nhà nghiên cứu bảo mật Dhanesh Dodia, Sambarathi Sai và Dwijay Chintakunta cho biết: "VBScript này hoạt động như một trình khởi chạy, cho phép tập lệnh Python thực thi các lệnh hoặc khởi tạo các tải trọng tiếp theo theo thiết kế của kẻ tấn công".

Tập lệnh Python còn lại được thiết kế để tải xuống tệp thực thi độc hại từ cùng một máy chủ từ xa, lưu tệp này dưới dạng "chrome.exe" trong thư mục Tải xuống, thiết lập tính bền bỉ bằng cách sử dụng các tác vụ theo lịch trình để chạy tệp nhị phân sau mỗi 15 phút và cuối cùng xóa tệp "d.py".

Mục tiêu cuối cùng của gói này, bất kể hệ điều hành nào, dường như là đánh cắp thông tin đăng nhập, thu thập quyền truy cập AWS và khóa bí mật bằng cách sử dụng Bộ phát triển phần mềm (SDK) AWS Boto3 cho Python và đánh cắp thông tin trở lại máy chủ.

"Bằng cách thu thập các khóa AWS, kẻ tấn công có thể truy cập vào các tài nguyên đám mây có khả năng nhạy cảm", các nhà nghiên cứu cho biết. "Gói fabrice đại diện cho một cuộc tấn công typosquatting tinh vi, được tạo ra để mạo danh thư viện fabric đáng tin cậy và khai thác các nhà phát triển không nghi ngờ bằng cách truy cập trái phép vào thông tin xác thực nhạy cảm trên cả hệ thống Linux và Windows".