对于 Python 开发人员和云管理员来说，一个令人担忧的进展是，Socket 研究团队发现了一个名为 fabrice 的恶意软件包，它伪装成合法且广泛使用的 Fabric SSH 自动化库。自 2021 年在 PyPI 上发布以来，fabrice 已悄无声息地外泄了敏感的 AWS 凭据，影响了那些在不知情的情况下安装了该排印错误软件包的用户。fabrice 软件包的下载量已超过 37000 次，凸显了恶意软件在开源软件源中带来的持续风险。

恶意 fabrice 软件包采用了多种技术来交付其有效载荷，并针对 Linux 和 Windows 环境定制了不同的恶意操作：

在 Linux 系统上： 该软件包使用一个名为 linuxThread() 的函数从外部服务器下载并执行隐藏脚本。研究发现，“linuxThread()函数会创建一个隐藏目录（~/.local/bin/vscode）来存储下载的有效载荷”，从而使检测变得困难。此外，该软件包会连接到一个 IP 地址为 89.44.9.227 的 VPN 服务器来下载这些恶意脚本，并使用混淆技术来躲避检测。在 Windows 系统上： Windows 版本使用 winThread() 函数，依赖于存储在变量 vv 和 zz 中的 base64 编码有效载荷。研究解释说，“vv 变量解码为 VBScript (p.vbs)，运行隐藏的 Python 脚本 (d.py)”，然后下载更多恶意可执行文件。zz 脚本通过调度任务重新执行恶意代码来建立持久性，即使在系统重启后也能保持攻击的存在。

fabrice 的主要目的似乎是窃取 AWS 凭据。通过利用 boto3 库，该软件包可以从被入侵的环境中提取 AWS 访问和密钥。一旦捕获，这些凭据就会被传输到 VPN 端点，从而使受害者难以追踪外泄数据。正如报告所强调的，“通过收集 AWS 密钥，攻击者获得了对潜在敏感云资源的访问权限”，有可能将重要数据和云资源暴露给未经授权的访问。

该恶意软件的设计与平台无关，其 test() 函数可检查操作系统并执行相应的恶意线程。这一功能使恶意软件能够同时针对 Linux 和 Windows 用户，扩大了其影响范围。“报告指出：”这种与平台无关的触发器确保攻击不受操作系统的影响，从而扩大了其潜在影响。

Typosquatting 攻击，即恶意软件包的命名与可信库相似，仍然是开源软件库中一个日益增长的风险。由 bitprophet 创建的合法 Fabric 库拥有超过 2.01 亿次下载，受到开发者的广泛信任。fabrice 背后的攻击者利用了这种信任，在毫无戒备的系统中大肆窃取凭据并安装后门。