只差一字，恶意Python组件fabrice专门窃取AWS密钥

安全企业Socket上周警告，有一个恶意的Python组件fabrice企图伪装成正版的SSH自动化函数库fabric，它们有同样的功能描述，只不过，盗版的名字多了一个字母，而且它会窃取用户的AWS密钥。

fabric是由Jeff Forcier（bitprophet）负责开发及维护，问世十多年来已有超过2亿次的下载。至于fabrice则是在2021年现身，下载次数也已超过3.7万，且同时支持Linux及Windows操作系统。

Socket指出，黑客相中开发人员对fabric的信任，于fabrice中存放了可以用来窃取凭证，创建后门，以及执行特定平台脚本程序的攻击指令。

研究显示，黑客的最终目的是窃取凭证，特别是AWS凭证，fabrice利用boto3函数库来访问开发人员的AWS访问密钥与秘密密钥，再将相关资讯发送到一个位于巴黎的VPN服务器。开发人员的凭证一旦遭窃，黑客即可取得受害者的云计算资源。

Socket已通知Python官方组件管理平台Python Package Index（PyPI），fabrice也已被下架。