Осторожно, ваши ключи AWS под угрозой из-за поддельного пакета Python

11.11.2024

В репозитории PyPI обнаружен зловредный пакет под названием 'fabrice', который крадет учетные данные Amazon Web Services (AWS) у разработчиков. Этот пакет скачали более 37,000 раз. Он появился еще в 2021 году и с тех пор незаметно собирал конфиденциальные данные пользователей.

Пакет 'fabrice' использует метод тайпосквоттинга, то есть его название очень похоже на название популярного пакета 'fabric', что и привлекло большое количество загрузок.

Действия зловреда зависят от операционной системы. На Linux он создает скрытую папку и загружает туда скрипты, которые потом выполняются с правами пользователя. На Windows 'fabrice' загружает скрипты, которые ведут к установке вредоносного файла и созданию задачи в планировщике, гарантирующей его постоянную активность.

Вне зависимости от ОС, основная цель пакета — кража учетных данных AWS с помощью библиотеки 'boto3'. Украденные ключи отправляются на VPN-сервер, что затрудняет их отслеживание.

Для защиты от таких атак рекомендуется внимательно проверять названия загружаемых пакетов и использовать специальные инструменты для обнаружения поддельных пакетов. Также важно настроить управление доступом к ресурсам AWS с помощью AWS Identity and Access Management (IAM).