图片来源:
Socket
资安业者Socket上周警告,有一个恶意的Python套件fabrice企图伪装成正版的SSH自动化函式库fabric,它们有同样的功能描述,只不过,盗版的名字多了一个字母,而且它会窃取用户的AWS金钥。
fabric是由Jeff Forcier(bitprophet)负责开发及维护,问世十多年来已有超过2亿次的下载。至于fabrice则是在2021年现身,下载次数亦已超过3.7万,且同时支援Linux及Windows作业系统。
Socket指出,骇客相中开发人员对fabric的信任,于fabrice中存放了可以用来窃取凭证,建立后门,以及执行特定平台脚本程式的攻击指令。
研究显示,骇客的最终目的是窃取凭证,特别是AWS凭证,fabrice利用boto3函式库来存取开发人员的AWS存取金钥与秘密金钥,再将相关资讯传送到一个位于巴黎的VPN伺服器。开发人员的凭证一旦遭窃,骇客即可取得受害者的云端资源。
Socket已通知Python官方套件管理平台Python Package Index(PyPI),fabrice亦已被下架。