名稱刻意只差正版一個字、意圖混淆開發者，惡意Python套件fabrice專門竊取AWS金鑰

資安業者Socket上周警告，有一個惡意的Python套件fabrice企圖偽裝成正版的SSH自動化函式庫fabric，它們有同樣的功能描述，只不過，盜版的名字多了一個字母，而且它會竊取用戶的AWS金鑰。

fabric是由Jeff Forcier（bitprophet）負責開發及維護，問世十多年來已有超過2億次的下載。至於fabrice則是在2021年現身，下載次數亦已超過3.7萬，且同時支援Linux及Windows作業系統。

Socket指出，駭客相中開發人員對fabric的信任，於fabrice中存放了可以用來竊取憑證，建立後門，以及執行特定平臺腳本程式的攻擊指令。

研究顯示，駭客的最終目的是竊取憑證，特別是AWS憑證，fabrice利用boto3函式庫來存取開發人員的AWS存取金鑰與秘密金鑰，再將相關資訊傳送到一個位於巴黎的VPN伺服器。開發人員的憑證一旦遭竊，駭客即可取得受害者的雲端資源。

Socket已通知Python官方套件管理平臺Python Package Index（PyPI），fabrice亦已被下架。