11 月 11 日消息,安全公司 Socket 于上周发布通报,声称其发现一个名为“Fabrice”的恶意“李鬼”Python 命令行工具,该工具内含木马,仅与正品“李逵”SSH 自动化工具“Fabric”存在一字之差,意在让不知情的用户误下载,继而悄悄窃取相应受害者的各类账号凭证。
作为比较,Fabric 是一款由开发者 Jeff Forcier(bitprophet)维护,已有十余年历史的 Python 库 / 命令行工具,允许用户快速执行应用部署和系统管理等操作,下载次数超过 2 亿。
而这一山寨“Fabrice”则从 2021 年便悄悄出现,支持 Linux 和 Windows 操作系统,已被下载超过 3.7 万次,这意味着大量用户已遭到黑客入侵。
▲ 山寨 Fabrice 工具,图源安全公司 Socket
安全公司 Socket 拆包 Fabrice 获悉,这一恶意工具主要利用 boto3 库来访问用户设备上的密钥,重点获取例如 AWS 等平台的信息,然后将这些信息发送至黑客架设在巴黎的服务器中。
获悉,目前 Socket 已通知 Python Package Index(PyPI)下架了“Fabrice”,该安全公司同时警告有部署相关库工具的开发者应检查是否下载错误成了“李鬼”山寨版本,避免被黑客趁虚而入。