Siber güvenlik araştırmacıları, Python Paket Dizininde (PyPI) üç yılı aşkın süredir binlerce indirmeye ulaşan ve geliştiricilerin Amazon Web Hizmetleri (AWS) kimlik bilgilerini gizlice sızdıran kötü amaçlı bir paket keşfettiler.
Söz konusu paket, kabuk komutlarını SSH üzerinden uzaktan yürütmek üzere tasarlanmış, “fabric” olarak bilinen popüler bir Python kütüphanesinin yazım hatası yapan “fabrice” paketidir.
Meşru paket 202 milyonun üzerinde indirme sayısına sahipken, kötü amaçlı paketi bugüne kadar 37.100’den fazla indirildi. Yazının yazıldığı an itibarıyla “fabrice” hala PyPI’den indirilebilir. İlk olarak Mart 2021’de yayınlandı.
Güvenlik firması Socket, yazım hatası paketinin “kimlik bilgilerini çalan, arka kapılar oluşturan ve platforma özel komut dosyalarını çalıştıran yükleri” içeren “kumaş” ile ilişkili güvenden yararlanmak üzere tasarlandığını söyledi.
“Fabrice”, kurulu olduğu işletim sistemine bağlı olarak kötü amaçlı eylemleri gerçekleştirmek üzere tasarlanmıştır. Linux makinelerinde, harici bir sunucudan dört farklı kabuk betiğini indirmek, kodunu çözmek ve yürütmek için özel bir işlev kullanır (“89.44.9″)[.]227”).
Windows çalıştıran sistemlerde, iki farklı veri (bir Visual Basic Komut Dosyası (“p.vbs”) ve bir Python komut dosyası) çıkarılır ve yürütülür; ilki, İndirilenler klasöründe saklanan gizli bir Python komut dosyasını (“d.py”) çalıştırır. .
Güvenlik araştırmacıları Dhanesh Dodia, Sambarathi Sai ve Dwijay Chintakunta, “Bu VBScript bir başlatıcı işlevi görerek Python betiğinin saldırgan tarafından tasarlandığı şekilde komutları yürütmesine veya daha fazla yük başlatmasına olanak tanıyor” dedi.
Diğer Python betiği, aynı uzak sunucudan kötü amaçlı bir yürütülebilir dosyayı indirmek, İndirilenler klasörüne “chrome.exe” olarak kaydetmek, ikili dosyayı 15 dakikada bir çalıştırmak için zamanlanmış görevleri kullanarak kalıcılığı ayarlamak ve son olarak “d” dosyasını silmek için tasarlanmıştır. .py” dosyası.
Paketin nihai hedefi, işletim sistemi ne olursa olsun, kimlik bilgileri hırsızlığı, Python için Boto3 AWS Yazılım Geliştirme Kiti’ni (SDK) kullanarak AWS erişimini ve gizli anahtarları toplamak ve bilgileri sunucuya geri sızdırmak gibi görünüyor.
Araştırmacılar, “Saldırgan, AWS anahtarlarını toplayarak potansiyel olarak hassas bulut kaynaklarına erişim kazanıyor” dedi. “Fabrika paketi, güvenilir yapı kitaplığını taklit etmek ve hem Linux hem de Windows sistemlerindeki hassas kimlik bilgilerine yetkisiz erişim sağlayarak şüphelenmeyen geliştiricilerden yararlanmak için hazırlanmış karmaşık bir yazım hatası saldırısını temsil ediyor.”