Un pacchetto Python dannoso denominato "fabrice" è presente nel PyPI (Python Package Index) dal 2021, rubando le credenziali di Amazon Web Services a sviluppatori ignari. Secondo la società di sicurezza Socket, il pacchetto è stato scaricato più di 37.000 volte ed esegue script specifici della piattaforma per Windows e Linux. L'elevato numero di download è dovuto al fatto che fabrice ha typosquattato il legittimo pacchetto di gestione del server remoto SSH "fabric", una libreria molto popolare con oltre 200 milioni di download.
Il pacchetto fabrice è progettato per eseguire azioni in base al sistema operativo su cui è in esecuzione. Su Linux, imposta una directory nascosta in ‘~/.local/bin/vscode’ per archiviare script shell codificati suddivisi in più file che vengono recuperati da un server esterno (89.44.9[.]227). Gli script shell vengono decodificati e vengono concessi permessi di esecuzione, consentendo all'attaccante di eseguire comandi con i privilegi dell'utente, spiegano i ricercatori. Su Windows, fabrice scarica un payload codificato (base64) che è un VBScript (p.vbs) creato per avviare uno script Python nascosto (d.py). Lo script è responsabile dell'ottenimento di un eseguibile dannoso ('chrome.exe') che viene rilasciato nella cartella Download della vittima. Il suo scopo è pianificare un'attività di Windows da eseguire ogni 15 minuti, per garantire la persistenza tra i riavvii.
Python: fabrice ruba credenziali tramite SDK ufficiale per AWS
Indipendentemente dal sistema operativo, l'obiettivo principale di fabrice è rubare le credenziali AWS tramite "boto3", l'SDK Python ufficiale per Amazon Web Services che consente l'interazione e la gestione delle sessioni con la piattaforma. Una volta inizializzata una sessione boto3, fabrice estrae automaticamente le credenziali AWS dall'ambiente, dai metadati dell'istanza o da altre fonti configurate. Gli aggressori poi trasferiscono le chiavi rubate su un server VPN (gestito da M247 a Parigi), il che rende più difficile rintracciare la destinazione. È possibile attenuare il rischio di typosquatting quando gli utenti controllano i pacchetti scaricati da PyPI. Un'altra opzione sono gli strumenti creati appositamente per rilevare e bloccare tali minacce. In termini di protezione dei repository AWS da accessi non autorizzati, gli amministratori potrebbero anche prendere in considerazione AWS Identity and Access Management (IAM) per gestire le autorizzazioni alle risorse.