恶意Python包Fabrice及其风险分析

关键要点

• 恶意包Fabrice通过typosquatting攻击合法的Fabric SSH库，已下载超过37,000次，窃取AWS凭证。
• Fabric库是一个高层次Python库，受到开发者信任，并在全球范围内下载超过2亿次。
• Fabrice的设计利用了这份信任，含有可窃取凭证、创建后门及执行平台特定脚本的负载。
• 该攻击展示了typosquatting的复杂性及开发者在使用第三方包时应提高警惕。

自2021年起，一款名为的恶意Python包在PyPI上活跃，通过typosquatting手段伪装成流行的
SSH自动化库，悄无声息地窃取AWS凭证，下载次数已超过37,000次。

根据的信息，在11月6日的报告中，合法的Fabric库已获得全球开发者的信任，总下载量超过2亿次。Fabric作为一个高层次的Python（支持2.7和3.4+）库，能够通过SSH远程执行shell命令，并返回有用的Python对象。

Socket研究团队指出，Fabrice的设计正是利用了这种信任：其包中包含具有窃取凭证、创建后门和执行平台特定脚本的负载。

“Fabrice包代表了一场复杂的typosquatting攻击，旨在通过未授权访问Linux和Windows系统上的敏感凭证来利用毫无防备的开发者，”研究人员写道。“通过模糊的URL、编码的负载，以及基于VPN的代理服务器用于隐秘数据外泄，这次攻击突显了使用能够在代码库中提醒此类行为的工具的重要性。”

Fabrice包的长期存在，活跃于超过三年，反映出与高级、有资源的威胁演员相关的计算和战略耐心，CriticalStart的网络威胁研究高级经理Callie Guenther解释道。

Guenther强调这种方法与攻击者优先考虑持续访问而非立即影响的趋势相符，攻击者可能明白，逐步收集AWS凭证能够帮助他们建立一个广泛且高价值的数据集。

行动 | 说明
—|—
收集数据 | 用于对目标环境深化访问或卖给其他威胁演员
持续性攻击 | 添加更大价值的攻击路径

“这种收集的数据可用于对目标环境的更深层访问，或以阶段性方式变现，从而最大化攻击的持久性及价值，”Guenther补充道。“Typosquatting是一种历史悠久的策略，但在开源生态系统中，因广泛依赖第三方包而依然有效。”

Guenther还表示，收集AWS凭证的意图表明攻击者或已拥有或预想到未来会访问基于AWS的基础设施。AWS凭证是进入云资产的切入点，为威胁演员提供了窃取数据、建立二次后门、部署进一步负载或通过数据破坏或加密干扰操作的可能性。

“这种对云凭证的关注表明了对许多组织操作中AWS环境重要性的了解，”Guenther指出。这种凭证盗窃方法显现出一种经过深思熟虑且具有高度价值的攻击路径。

Entro Security的联合创始人兼首席执行官ItzikAlvas表示，当一个非人类身份（NHI）被利用时，通常只是攻击者静悄悄地妥协其他身份和资产的入侵点。Alvas表示，虽然IBM估计企业可能需要长达一年才能识别和缓解被妥协的身份，但“Fabrice”漏洞正是这些统计数据仅基于已被发现的攻击实例的良好例证。

“潜在上有许多未被发现的多年利用漏洞，就像这个