自 2021 年以来,一个名为“fabrice”的恶意 Python 包一直出现在 Python 包索引 (PyPI) 中,从开发人员那里窃取 Amazon Web Services 凭证。
据应用安全公司 Socket 称,该软件包已被下载超过 37,000 次,并执行 Windows 和 Linux 平台特定的脚本。
大量下载是由于fabrice 对合法的SSH 远程服务器管理包“fabric”进行错字造成的,这是一个非常受欢迎的库,下载量超过2 亿次。
该 Fabrice 之所以长期未被检测到,是因为在 PyPI 上首次提交后就部署了先进的扫描工具,而且很少有解决方案进行追溯扫描。
操作系统特定的行为
Fabrice 包旨在根据其运行的操作系统执行操作。在 Linux 上,它在“~/.local/bin/vscode”处设置一个隐藏目录,用于存储分割成多个文件的编码 shell 脚本,这些文件是从外部服务器 (89.44.9[.]227) 检索的。
研究人员解释说,shell 脚本被解码并授予执行权限,让攻击者能够以用户权限执行命令。
在 Windows 上,fabrice 下载编码的有效负载 (base64),该有效负载是为启动隐藏的 Python 脚本 (d.py) 而创建的 VBScript (p.vbs)。 Python 脚本负责获取恶意可执行文件(“chrome.exe”),该可执行文件被放入受害者的下载文件夹中。
其目的是安排 Windows 任务每 15 分钟执行一次,以确保重新启动后的持久性。
AWS凭证被盗
无论使用哪种操作系统,fabrice 的主要目标都是使用“boto3”(Amazon Web Services 的官方 Python SDK)窃取 AWS 凭证,从而允许与平台进行交互和会话管理。
Boto3 会话初始化后,它会自动从环境、实例元数据或其他配置的源中提取 AWS 凭证。然后,攻击者将窃取的密钥泄露到 VPN 服务器(由巴黎的 M247 运营),这使得追踪目的地变得更加困难。
Python函数窃取AWS凭证
当用户检查从 PyPI 下载的包时,可以降低拼写错误的风险。另一种选择是专门为检测和阻止此类威胁而创建的工具。
在保护 AWS 存储库免遭未经授权的访问方面,管理员应考虑使用 AWS Identity and Access Management (IAM) 来管理资源权限。
Security leaders feel under increasing pressure to provide assurances around cybersecurity, exposing them to greater personal risk – yet many lack the data and resources to accurately report and close cybersecurity gaps, according to Panaseer. The report analyses the findings of a survey of 400 security decision makers (SDMs) across the US and UK. Security leaders turn to indemnity insurance for protection 61% of organizations have suffered a security breach in the past year because … More →
The post How cybersecurity failures are draining business budgets appeared first on Help Net Security.
国家计算机病毒应急处理中心依据《网络安全法》《个人信息保护法》《App违法违规收集使用个人信息行为认定方法》等法律法规及相关国家标准要求,近期通过互联网监测发现13款移动App存在隐私不合规行为,涉及电商等领域。
1、在App首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则、未声明App运营者的基本情况。涉及8款App如下:
《致题库》(版本5.4.1,小米应用商店)、
《信久久》(版本1.7.1,小米应用商店)、
《吉客赢》(版本5.5.3,应用宝)、
《丛丛脱单相亲交友平台》(版本1.0.8,vivo应用商店)、
《价美丽》(版本1.6.6,vivo应用商店)、
《小羊淘券》(版本1.0.2,vivo应用商店)、
《海豚药药极速版》(版本1.2.0,vivo应用商店)、
《多蒙达司机》(版本2.1.22,应用宝)。
2、隐私政策未逐一列出App(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等。涉及7款App如下:
《致题库》(版本5.4.1,小米应用商店)、
《DJ99》(版本1.1.03,应用宝)、
《信久久》(版本1.7.1,小米应用商店)、
《叮咚盲盒》(版本1.5.0,小米应用商店)、
《庆趣供货》(版本3.2.2,vivo应用商店)、
《海豚药药极速版》(版本1.2.0,vivo应用商店)、
《俄界外卖骑手端》(版本1.2.6,vivo应用商店)。
3、个人信息处理者向其他个人信息处理者提供其处理的个人信息的,未向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,未取得个人的单独同意。涉及4款App如下:
《DJ99》(版本1.1.03,应用宝)、
《吉客赢》(版本5.5.3,应用宝)、
《丛丛脱单相亲交友平台》(版本1.0.8,vivo应用商店)、
《海豚药药极速版》(版本1.2.0,vivo应用商店)。
4、App未提供有效的更正、删除个人信息及注销用户账号功能;注销用户账号的人工处理(承诺)时限超过15个工作日。涉及2款App如下:
《致题库》(版本5.4.1,小米应用商店)、
《庆趣供货》(版本3.2.2,vivo应用商店)。
5、App未建立并公布个人信息安全投诉、举报渠道,或未在承诺时限内受理并处理。涉及3款App如下:
《致题库》(版本5.4.1,小米应用商店)、
《海豚药药极速版》(版本1.2.0,vivo应用商店)、
《多蒙达司机》(版本2.1.22,应用宝)。
6、基于个人同意处理个人信息的,个人有权撤回其同意。个人信息处理者未提供便捷的撤回同意的方式;向用户提供撤回同意收集个人信息的途径、方式,未在隐私政策等收集使用规则中予以明确。涉及7款App如下:
《致题库》(版本5.4.1,小米应用商店)、
《DJ99》(版本1.1.03,应用宝)、
《信久久》(版本1.7.1,小米应用商店)、
《叮咚盲盒》(版本1.5.0,小米应用商店)、
《吉客赢》(版本5.5.3,应用宝)、
《玩皮王》(版本2.2.5,360手机助手)、
《海豚药药极速版》(版本1.2.0,vivo应用商店)。
7、处理敏感个人信息未取得个人的单独同意。涉及1款App如下:
《信久久》(版本1.7.1,小米应用商店)。
8、个人信息处理者处理不满十四周岁未成年人个人信息的,未制定专门的个人信息处理规则;收集未成年人信息未取得监护人单独同意。涉及7款App如下:
《DJ99》(版本1.1.03,应用宝)、
《信久久》(版本1.7.1,小米应用商店)、
《叮咚盲盒》(版本1.5.0,小米应用商店)、
《丛丛脱单相亲交友平台》(版本1.0.8,vivo应用商店)、
《庆趣供货》(版本3.2.2,vivo应用商店)、
《玩皮王》(版本2.2.5,360手机助手)、
《海豚药药极速版》(版本1.2.0,vivo应用商店)。
针对上述情况,国家计算机病毒应急处理中心提醒广大手机用户首先谨慎下载使用以上违规移动App,同时要注意认真阅读其用户协议和隐私政策说明,不随意开放和同意不必要的隐私权限,不随意输入个人隐私信息,定期维护和清理相关数据,避免个人隐私信息被泄露。
注:文中所列App检测时间为2024年10月8日至10月31日
文章来源自:国家计算机病毒应急处理中心