分析GitHub窃密木马

3 关联分析

此次发现的恶意GitHub项目是“Discord-Token-Generator”，最早于2024年1月份创建。

该项目的环境依赖文件requirements.txt中包含一个托管colorama-0.4.6.tar.gz的URL。攻击者对域名进行了伪装，在流行开源模块colorama-0.4.6中添加了恶意代码，并进行重新打包。

根据requirements.txt文件中发现的恶意域名，目前在GitHub中有多个项目引用了经过攻击者恶意篡改的模块，相关账号可能都是由同一批攻击者所创建。

攻击者用于托管载荷的域名于2024年2月份注册，表明这是一起刚开始进行的攻击活动。

在多个恶意GitHub项目中存在攻击者修改requirements.txt文件的痕迹。分析时已无法获取到该URL中的colorama-0.4.3.tar.gz，不能判断该文件是否恶意。

此外，在窃密木马文件中存在多处葡萄牙语痕迹，表明攻击者可能位于葡语系国家或地区。

窃密木马窃取文件的关键词列表中存在几处法语，表明攻击者可能更加针对法语用户。

4 样本分析

4.1 经过攻击者篡改的colorama模块

colorama是一个开源的Python模块，能够提供彩色的终端文本。攻击者在其__init__.py文件中，通过463个空格将恶意代码掩藏在第5行末尾，然后将篡改的colorama模块重新打包并托管于搭建的服务器中。由于__init__.py文件用于定义包的初始化代码，因此当用户导入该包时会自动执行其中的恶意代码。该恶意代码用于从攻击者服务器中接收“version”文件中的内容并执行。

4.2 version

“version”文件中的代码使用Fernet算法，通过攻击者自定义的密钥对代码进行解密，然后对解密的代码进行执行。

解密后的代码访问指定的URL，将“inj”文件内容写入临时文件中，并通过python执行。

4.3 inj

该文件是一个Python脚本，攻击者使用中文、日文对变量及函数等进行命名，并且对代码进行了混淆处理。

攻击者同样通过空格对关键代码进行掩藏，经解混淆处理后发现，该脚本的作用是使用zlib解压出下一阶段的代码并进行执行。

4.4 经过zlib解压的代码