自 2021 年以来,在 Python 包索引 (PyPI) 中发现了一个名为 ‘fabrice’ 的恶意 Python 包,该包涉及从开发人员那里窃取 Amazon Web Services (AWS) 凭证。据应用程序安全公司 Socket 报告,该软件包的下载量已超过 37,000 次。如此广泛的下载计数归因于流行的 SSH 远程服务器管理包 ‘fabric’ 的拼写错误,该包的下载量超过 2 亿次。
由于高级扫描工具的后期部署和有限的追溯扫描,’fabrice’ 程序包在很长一段时间内未被发现,它在 Linux 和 Windows 上表现出特定于平台的行为。在 Linux 上,它会创建一个隐藏目录,并使用编码的 shell 脚本以用户权限执行命令。在 Windows 上,它下载并执行一系列脚本来维护持久性并窃取数据。这两个操作系统的主要目标是使用适用于 AWS 的官方 Python 开发工具包 ‘boto3’ 窃取 AWS 凭证,从而促进平台上未经授权的访问和会话管理。来源