Pesquisadores de cibersegurança identificaram um pacote malicioso no Python Package Index (PyPI) que obteve milhares de downloads ao longo de mais de três anos, enquanto furtivamente extraía credenciais do Amazon Web Services (AWS) dos desenvolvedores.

O pacote em questão é “fabrice“, que se aproveita de um erro de digitação de uma popular biblioteca do Python chamada “fabric“, que permite a execução de comandos de shell remotamente via SSH.

Enquanto o pacote legítimo acumulou mais de 202 milhões de downloads, seu equivalente malicioso foi baixado mais de 37.100 vezes até agora. Até o momento desta divulgação, “fabrice” ainda estava disponível no PyPI, tendo sido publicado pela primeira vez em março de 2021.

O pacote de typosquatting foi concebido para explorar a confiança associada ao “fabric”, incluindo “códigos que furtam credenciais, criam portas dos fundos e executam scripts específicos de plataforma”, de acordo com a empresa de segurança Socket em seu comunicado.

“Fabrice” é projetado para realizar ações maliciosas com base no sistema operacional em que está instalado. Em máquinas Linux, ele utiliza uma função específica para baixar, decodificar e executar quatro scripts de shell diferentes de um servidor externo (“89.44.9[.]227”).

Nas máquinas Windows, dois códigos distintos – um Script Visual Basic (“p.vbs”) e um script Python – são extraídos e executados, sendo que o primeiro dá início a um script Python oculto (“d.py”) localizado na pasta Downloads.

Esse VBScript funciona como um lançador, permitindo que o script Python execute comandos ou inicie outros códigos conforme a intenção do atacante”, explicaram os pesquisadores de segurança Dhanesh Dodia, Sambarathi Sai e Dwijay Chintakunta.

O outro script Python é projetado para baixar um executável malicioso do mesmo servidor remoto, salvando-o como “chrome.exe” na pasta Downloads, configurando persistência com tarefas agendadas para executar o binário a cada 15 minutos, e finalmente excluindo o arquivo “d.py”.

O objetivo final do pacote, independentemente do sistema operacional, parece ser o roubo de credenciais, reunindo chaves de acesso e secretas da AWS por meio do Boto3, o Kit de Desenvolvimento de Software (SDK) da AWS para Python, e enviando as informações de volta ao servidor.

“Ao coletar as chaves da AWS, o atacante obtém acesso a recursos de nuvem potencialmente sensíveis”, afirmaram os pesquisadores. “O pacote fabrice representa um ataque sofisticado de typosquatting, elaborado para se passar pela biblioteca confiável fabric e explorar desenvolvedores desavisados, conseguindo acesso não autorizado a credenciais sensíveis em sistemas Linux e Windows.”

Atualização

O pacote “fabrice” não está mais disponível para download no repositório PyPI. Um porta-voz da AWS forneceu a seguinte declaração ao The Hacker News após a divulgação da matéria –

Recomendamos que os clientes que utilizam o software legítimo “fabric” para interações SSH verifiquem se não estão usando inadvertidamente o malware “fabrice. Clientes da AWS que suspeitam de atividade maliciosa em suas contas ou credenciais da AWS devem seguir as orientações para remediar credenciais potencialmente comprometidas da AWS ou entrar em contato com o suporte da AWS para assistência. A manutenção da segurança adequada da cadeia de suprimentos de software, incluindo a validação do código-fonte e nomes corretos de qualquer software ou dependência instalada, reduz os riscos causados por pacotes que abusam de credenciais. AWS contribui para a segurança da cadeia de suprimentos de software do ecossistema de código aberto do Python através de um patrocínio de segurança notável do Python Package Index (PyPi) com a Python Software Foundation.

(A matéria foi atualizada após a publicação em 16 de novembro de 2024, para incluir uma resposta da AWS.)

Origens e Descoberta do Fabrice Malware

O fabrice malware foi descoberto no Python Package Index (PyPI), e a sua presença maliciosa é um alerta significativo para todos os desenvolvedores que utilizam pacotes dessa plataforma. Publicado pela primeira vez em março de 2021, o pacote permaneceu disponível por mais de três anos, acumulando mais de 37.000 downloads antes de sua remoção. Essa durabilidade sem detecção pode ser atribuição a várias razões, incluindo a implementação tardia de ferramentas de scanner eficientes.

Os investigadores descobriram que as soluções de segurança não realizaram verificações retroativas nas submissões anteriores ao momento em que as medidas de segurança foram estabelecidas. Essa situação é um exemplo clássico de como a segurança em pacotes do Python pode ser comprometida por softwares mal-intencionados, já que muitos desenvolvedores confiam na imagem de confiança que o PyPI construíram ao longo dos anos.

Os pacotes maliciosos podem se disfarçar atrás de nomes semelhantes a bibliotecas populares, como é o caso do fabrice, que se aproveita do erro de digitação do pacote legítimo fabric. A fabric library é amplamente utilizada para gerenciamento de conexões SSH, tornando-se um alvo ideal para ataques de typosquatting.

Como o Fabrice Malware Funciona

O funcionamento do fabrice malware varia conforme o sistema operacional em que ele está implantado. Para sistemas Linux, o pacote é projetado para criar um diretório oculto que armazena scripts shell maliciosos. Esses scripts são baixados de um servidor remoto, executando comandos que podem comprometer as credenciais do usuário. Esse tipo de estratégia ilustra bem como o malware pode explorar a vulnerabilidade dos sistemas operacionais, um risco que deve ser levado em consideração por todos os desenvolvedores.

Nos sistemas Windows, o fabrice age de maneira diferente. Ele baixa um script VBScript que funciona como lançador para um script Python oculto. Esse script é responsável por baixar um executável malicioso disfarçado, preservando a persistência no sistema e potencialmente coletando informações sensíveis do usuário. Isso demonstra a complexidade das armadilhas que os desenvolvedores enfrentam e a necessidade de monitoração constante sobre o que é instalado em seus sistemas.

Um ponto crítico onde o fabrice malware atravessa diretamente os limites de segurança é o seu objetivo final: roubo de credenciais AWS. Utilizando o Boto3, o SDK da AWS para Python, o pacote malicioso coleta uma variedade de credenciais sensíveis. O foco em acessar as credenciais permite que os atacantes obtenham informações valiosas que podem comprometer recursos na infraestrutura de nuvem de muitas organizações.

Impacto e Consequências do Roubo de Credenciais

O impacto do fabrice malware é vasto, especialmente considerando que ele pode arrecadar chaves de acesso e outras credenciais sensíveis do Amazon Web Services (AWS). O uso da exfiltração de credenciais representa um risco absoluto à segurança em nuvens, permitindo que indivíduos maliciosos accesse recursos em nuvem de maneira ilegítima. A possibilidade de acesso a dados sensíveis é um cenário que deve ser preocupante para desenvolvedores e organizações.

A exploração da infraestrutura da AWS pode resultar em danos financeiros substanciais para as organizações, além de prejudicar a reputação que a empresa pode ostentar em um ambiente altamente competitivo. A coleta de credenciais não é apenas uma questão de roubo, mas poderia permitir a um atacante conduzir atividades malignas sob a marca da organização comprometida.

O fabrice como um pacote malicioso destaca a importância da segurança da cadeia de suprimento de software. Sem as devidas precauções e com a crescente quantidade de pacotes vulneráveis disponíveis nas plataformas de código aberto, há um aumento exponencial no risco de ataques cibernéticos que poderia afetar todos os envolvidos.

Medidas de Mitigação e Prevenção Contra o Fabrice Malware

Existem várias práticas recomendadas para prevenir o comprometimento de sistemas através do uso de pacotes maliciosos como o fabrice. A primeira prática é a validação do código-fonte e a busca ativa por pacotes no PyPI. Desenvolvedores devem estar cientes das armadilhas de typosquatting e revisar suas dependências em projetos regularmente. Isso pode ajudar a evitar a inevitável exposição a malicious Python scripts.

Além disso, a prática de monitoramento contínuo deve ser aplicada na execução de qualquer pacote ou código. A adoção de soluções automatizadas que analisem o comportamento de novos pacotes pode ser vital na prevenção de futuras invasões. Ferramentas de segurança, como gerenciadores de pacotes com recursos integrados de segurança, podem ser úteis nesse sentido.

A AWS recomenda que seus clientes verifiquem cuidadosamente as credenciais utilizadas, bem como as dependências e os pacotes que estão sendo empregados em seus sistemas. A manutenção de boas práticas de credential management e a atualização regular das credenciais podem significativamente reduzir o risco de violação de segurança. Desenvolvedores que utilizam Boto3 devem estar cientes das melhores práticas e adotar medidas rigorosas para proteger suas chaves de acesso.

Resposta da Comunidade de Segurança e Medidas Futuras

A breve remoção do fabrice do PyPI é um sinal da resposta da comunidade a essas ameaças emergentes. Além disso, iniciativas em curso, como a colaboração da AWS com a Python Software Foundation, são uma tentativa de fortalecer a segurança do ecossistema de código aberto, garantindo que futuros desenvolvedores façam escolhas mais bem-informadas. O diálogo entre as partes interessadas no desenvolvimento de software é crucial para enfrentar essas cybersecurity threats.

Os desenvolvedores são incentivados a se manter informados sobre recent cybersecurity threats 2024, e estar atentos às taxas de sucesso de novas medidas de segurança implementadas em seu workflow de desenvolvimento. As informações coletadas através de estudos de segurança em tempo real devem orientar as estratégias de resposta a incidentes para que sejam eficazes na proteção de usuários finais e sistemas.

A necessidade de evolução contínua em práticas de segurança destaca a importância da educação em segurança cibernética para desenvolvedores. Ferramentas de segurança que monitoram automaticamente atividades de pacotes e oferecem relatórios em tempo real podem se tornar parte integral do desenvolvimento de software seguro no futuro.

Origens e Descoberta do Malware Fabrice

O fabrice malware emergiu como uma ameaça significativa dentro do Python Package Index (PyPI), quando foi publicado em março de 2021. Desde então, ele se aproveitou da técnica de typosquatting, manipulando erros de digitação comuns que os desenvolvedores podem cometer.

Este pacote malicioso, que imita a popular biblioteca fabric, obteve mais de 37 mil downloads durante seu tempo indetectado, explorando a confiabilidade associada ao fabric library, que possui mais de 202 milhões de downloads.

Embora o fabrice possa parecer inofensivo à primeira vista, ele é projetado para executar ações clandestinas que podem comprometer a segurança dos usuários. O fator chave na descoberta do fabrice foi a análise meticulosa por pesquisadores de segurança cibernética, que examinaram seu funcionamento e impacto.

Funcionamento em Diferentes Sistemas Operacionais

Fabrice no Linux

No ambiente Linux, o fabrice malware realiza suas operações maliciosas criando um diretório oculto em ~/.local/bin/vscode. Este espaço abriga scripts shell codificados, os quais são recuperados de um servidor externo. Ao utilizar um IP configurado, como 89.44.9[.]227, os scripts são baixados, decodificados e recebendo permissões de execução.

Com isso, o atacante ganha acesso privilegiado ao sistema, permitindo a execução de comandos sem a permissão do usuário. Essas ações não só comprometem a segurança do sistema como também possibilitam a coleta de informações sensíveis armazenadas na máquina.

Os desenvolvedores precisam estar atentos a esse tipo de ameaça, pois muitos podem não perceber que instalaram um pacote malicioso, assumindo que estão utilizando uma biblioteca confiável.

Fabrice no Windows

Em sistemas operacionais Windows, o funcionamento do fabrice se revela igualmente complexo. Neste ambiente, o malware se utiliza de um VBScript chamado p.vbs para acionar um script Python oculto denominado d.py.

O d.py é preparado para baixar um executável malicioso que será salvo na pasta Downloads como chrome.exe. Depois disso, o assassino digital configura uma tarefa agendada para garantir que o binário seja executado a cada 15 minutos, assegurando a persistência do malware mesmo após reinicializações do sistema.

A manipulação e a execução de scripts maliciosos tornam o ambiente Windows um campo fértil para o fabrice, aumentando os riscos de exposição a dados e credenciais sensíveis.

Objetivo Principal e Exfiltração de Dados

O objetivo primordial do fabrice malware é o roubo de credenciais AWS, utilizando o Boto3 AWS SDK. Assim que ele estabelece uma sessão com o boto3, o malware começa a coletar credenciais que podem ser acessadas através do ambiente, metadados da instância ou outras fontes configuradas.

A exfiltração de dados ocorre quando as credenciais roubadas são enviadas de volta para um local remoto, dificultando o rastreamento e a recuperação das informações. Esse tipo de ataque não só compromete a aplicação específica que utiliza o boto3, mas também pode permitir que os atacantes tenham acesso a recursos na nuvem que podem ser extremamente sensíveis.

De forma alarmante, a possibilidade de acesso não autorizado a recursos e dados de usuários da Amazon Web Services (AWS) levanta sérios riscos de segurança na nuvem em uma era em que as credenciais são frequentemente o elo mais fraco na cadeia de proteção.

Impacto e Risco do Fabrice Malware

Os riscos associados ao fabrice são alarmantes. O impacto direto do malware se estende além da simples instalação de um pacote; envolve a perda de informações críticas e a potencial violação de dados. Quando os desenvolvedores instalam inadvertidamente esse pacote, tornam-se alvos fáceis para ataques cibernéticos.

Com o controle sobre as credenciais da AWS, os atacantes podem explorar os recursos de nuvem, potencialmente causando innumeráveis danos financeiros e de reputação. Essa capacidade de comprometer dados sensíveis e recursos computacionais se torna uma das maiores preocupações no campo da cybersecurity.

Além disso, as ações do fabrice malware podem levar a gastos não autorizados em serviços na nuvem, já que os atacantes podem orquestrar atividades usando os recursos acessados sem o conhecimento do titular da conta.

Medidas de Prevenção e Mitigação

Verificação de Pacotes

Uma das principais medidas preventivas que os desenvolvedores podem adotar é a verificação rigorosa de pacotes antes da instalação. Isso envolve verificar a ortografia e a autenticidade do nome dos pacotes no PyPI. Pequenas variações de nomes, como no caso do fabrice, podem ter consequências sérias.

Além de verificações de nome, a utilização de ambientes de desenvolvimento isolados, como virtual environments, pode ajudar a conter os danos, garantindo que pacotes não verificados não afetem o sistema principal.

Ademais, a utilização de ferramentas que realizam varreduras em busca de malware pode identificar pacotes potencialmente maliciosos antes que sejam instalados, reduzindo ainda mais os riscos.

Gerenciamento de Permissões

A implementação do AWS Identity and Access Management (IAM) é crucial para um gerenciamento eficaz de permissões. Essa prática não só ajuda a limitar o acesso a recursos sensíveis, mas também possibilita o uso de credenciais temporárias, que são menos suscetíveis a ataques.

Manter uma política de menor privilégio, onde usuários e aplicativos recebem apenas as credenciais necessárias para funcionar, pode reduzir significativamente o risco de exploração de dados sensíveis.

Além disso, a verificação periódica de permissões e credenciais ajuda a mitigar riscos, garantindo que acesso não autorizado seja identificado e removido rapidamente.

Seguindo as Boas Práticas de Segurança

Adotar boas práticas de segurança da cadeia de suprimentos de software é essencial. Isso inclui não apenas a validação da maioria dos pacotes, mas também a pesquisa sobre as dependências utilizadas em uma aplicação. Mudanças de última hora na biblioteca ou na estrutura de dependência podem soar alarmes de segurança.

Fatores como auditorias regulares, uso de ferramentas para análise de vulnerabilidades e atualizações de segurança devem fazer parte do processo de desenvolvimento. Manter-se informado sobre as últimas práticas de segurança e as novidades do Python Package Index (PyPI) pode ser a diferença entre um projeto seguro e uma violação de dados significativa.

Além disso, em caso de desacordo, as comunidades de desenvolvedores devem estar dispostas a relatar e compartilhar informações sobre pacotes suspeitos, promovendo um ambiente mais seguro para todos.

Resposta da AWS e Comunidade

A Amazon Web Services (AWS) já tomou medidas proativas após a divulgação do fabrice malware. A AWS recomenda que todos os usuários do pacote legítimo fabric verifiquem possíveis instalações indesejadas do fabrice. Essa resposta educacional reforça a necessidade de que os desenvolvedores sejam proativos na manutenção da segurança de suas credenciais e recursos.

Os clientes também são aconselhados a seguir diretrizes para remediar credenciais potencialmente comprometidas, além de contatar o suporte, se necessário. Isso destaca a importância do envolvimento da comunidade e das empresas para garantir um ambiente de desenvolvimento mais seguro e menos propenso a ameaças.

A colaboração em dar suporte à segurança da cadeia de suprimentos de software é essencial. A iniciativa da AWS de proporcionar ferramentas e acessibilidade aumenta a conscientização sobre a Python Package Index (PyPI) security e a ocorrência de recent cybersecurity threats 2024 que afetam desenvolvedores e organizações.

Conheça Mais

• Pacote PyPI identificado como ladrão de credenciais da AWS
• Pacote Python rouba credenciais da AWS
• Pacote malicioso no PyPI
• Pacote de Python malicioso esteve durante anos no PyPI
• Pacote malicioso do PyPI encontrado

#fabrice #malware #PyPI #AWS #cybersecurity #typosquatting #Python #cloudsecurity #softwaresecurity #alegon #cryptoalch