Socket

资安业者Socket上周警告，有一个恶意的Python套件fabrice企图伪装成正版的SSH自动化函数库fabric，它们有同样的功能描述，只不过，盗版的名字多了一个字母，而且它会窃取用户的AWS密钥。

fabric是由Jeff Forcier（bitprophet）负责开发及维护，问世十多年来已有超过2亿次的下载。至于fabrice则是在2021年现身，下载次数亦已超过3.7万，且同时支持Linux及Windows操作系统。

Socket指出，黑客相中开发人员对fabric的信任，于fabrice中存放了可以用来窃取凭证，创建后门，以及运行特定平台脚本程序的攻击指令。

研究显示，黑客的最终目的是窃取凭证，特别是AWS凭证，fabrice利用boto3函数库来存取开发人员的AWS存取密钥与秘密密钥，再将相关信息发送到一个位于巴黎的VPN服务器。开发人员的凭证一旦遭窃，黑客即可取得受害者的云端资源。

Socket已通知Python官方套件管理平台Python Package Index（PyPI），fabrice亦已被下架。