Tres años a la vista: cómo un paquete malicioso en PyPI recopiló 37.000 descargas

El equipo de investigadores de la empresa Socket descubrió un paquete malicioso de Python llamado «fabrice», disfrazado como la popular biblioteca «fabric». Este paquete, presente en PyPI desde 2021 y descargado más de 37 mil veces, roba de manera imperceptible las credenciales de AWS de los desarrolladores.

La biblioteca original «fabric», desarrollada por la empresa bitprophet, es utilizada por muchos especialistas en todo el mundo y cuenta con más de 200 millones de descargas. Sin embargo, los atacantes aprovecharon su reputación y crearon una versión falsa con código malicioso. El paquete «fabrice» roba claves de acceso, crea puertas traseras y ejecuta comandos según el sistema operativo.

En Linux, el código malicioso se ejecuta a través de la función linuxThread(), que descarga y ejecuta scripts desde un servidor remoto. Se utiliza un directorio oculto para almacenar los archivos descargados, lo que dificulta su detección. La dirección del servidor está ofuscada, lo que ayuda a ocultar las actividades maliciosas de los antivirus.

En Windows, el sistema se infecta mediante la función winThread(), que descarga archivos ejecutables maliciosos y crea tareas para su ejecución regular. Esto permite a los atacantes mantener acceso a los dispositivos infectados incluso después de un reinicio.

El objetivo principal de «fabrice» es el robo de credenciales de AWS. Utilizando la biblioteca boto3, el código malicioso extrae las claves y las envía a un servidor ubicado en una VPN en París. Esto dificulta el rastreo de los atacantes y les permite acceder a los recursos en la nube de las víctimas.

Para garantizar la seguridad, se recomienda encarecidamente a los desarrolladores utilizar herramientas especializadas para GitHub que verifiquen automáticamente las dependencias y detecten paquetes sospechosos. El equipo de Socket ya ha notificado a PyPI sobre la presencia del paquete malicioso para su eliminación.