Um Pacote malicioso de Python foi descoberto na Python Package Index (PyPI)، ارسال شده است یا پیامی استاریا در پلاتفورم دسد 2021، و در نظر گرفته شده برای روبار دادوس حسی برای پروژه های وارداتی.
Este pacote teria como objetivo roubar dados de login e chaves secretas da Amazon Web Services، de programadores que possam ter adicionado incorretamente o pacote nos seus projetos.
Apelidado de “fabrice”, este pacote encontrava-se aproveitar possíveis erros na escrita e procura por outro pacote، یا “fabric”، um que é élegítimo e usado como server remoto de SSH. این بسته رسمی با 200 میلیون بار دانلود، معادل 37 میلیون نسخه رسمی است.
De acordo com os investigadores da empresa de segurança Socket، o pacote manteve-se indetetável por tanto tempo devido a algumas medidas aplicadas para evitar a sua deteção. De forma inicial، o pacote não realiza qualquer atividade maliciosa، e quando foi enviado para a plataforma، o mesmo encontrava-se perfeitamente legítimo em sem conteúdos maliciosos.
بدون آن، این امکان وجود دارد که در نهایت برای تحقق بخشیدن به عنوان atividades maliciosas de forma oculta، tentando evitar a deteção. As novas versões que foram sendo lançadas integraram codigo que era capaz descarregar os scripts maliciosos، com o objetivo de roubar credenciais de acesso dos programadores.
Dependendo do sistema onde era executado، o pacote adaptava-se para descarregar o malware de systemas externos، e executar o mesmo para roubar os dados que pretendia. Quando eram obtidos، os dados seriam novamente enviados para os systemas remotos، و usados برای آتیش و AWS.
Tendo em conta que o pacote aproveitava-se de possíveis erros na escrita do nome، uma das forms de proteção que os utilizadores devem implementar será analisar se todos os pacotes importados do PyPI estão com os nomes corretos. Esta tendência é algo que tem vindo a verificar-se cada vez mais dentro da PyPI.