扫码领资料

获网安教程

来Track安全社区投稿~  

千元稿费！还有保底奖励~（https://bbs.zkaq.cn）

前言

在我随意浏览 GitHub、探寻找 Twitter 自动化工具的过程中，我偶然发现了一个看似无辜的 Python 工具，它在众多克隆和分支中比较受欢迎。然而，里面却隐藏着一个惊喜：一个shell。在这篇短文中，我将引导您完成揭开这个隐藏shell的过程，以及瞄准毫无戒心的用户是多么简单。

我随意浏览并在 GitHub 上发现了一个新工具，可以使用 tweepy 库实现 Twitter 自动化。该工具已经使用了大约三周，有分支和详细的自述文件。一切看起来都很好，但有一个隐藏的shell。让我们仔细看看代码。

揭开隐藏的shell

在 VSCode 中打开入口点文件。反向shell隐藏在这里。你能发现它吗？

应用程序的入口点

选择文本时，我注意到代码第一行有大量制表字符

这里的制表字符太多

这是恶意代码。有数百个制表字符，但是当您启用自动换行时，您可以看到隐藏的内容。默认情况下，VSCode 或 PyCharm 等 IDE 不进行自动换行。

Linux 的“cat”将单词包裹起来。因此恶意代码可以被发现。

分析payload

有一个 exec() 语句，并且payload是从远程服务器接收的。直接访问远程 C2 后，很明显，payload以 Windows 计算机为目标，并使用 fernet 加密进行加密，这可能有助于绕过一些效率较低的防病毒程序。

来自远程服务器的payload

受损的存储库所有者

经过对提交记录和拥有者账户的调查，可以得出结论：该仓库拥有者的账户在几天前遭到入侵，随后该账户被用来注入恶意代码。

有一个带有恶意代码的新签名提交

结论

该GitHub 存储库乍一看是一个有用的 Twitter 自动化开源工具，但结果却隐藏着隐藏的 shell 和payload。受损所有者的帐户促进了该恶意软件的注入，该恶意软件以 Windows 计算机为目标，并采用 fernet 加密来潜在规避防病毒程序。小编也在这里提醒大家在下载GitHub上的资源时，还是要稍微注意下工具的安全问题，开源≠安全！

以上内容由白帽子左一翻译并整理。原文：https://medium.com/@s_novoselov/open-source-secure-43db79cbabbe

声明：⽂中所涉及的技术、思路和⼯具仅供以安全为⽬的的学习交流使⽤，任何⼈不得将其⽤于⾮法⽤途以及盈利等⽬的，否则后果⾃⾏承担。