covd惡意包攻擊案例

近日，騰訊洋蔥反入侵系統檢測發現 PyPI官方倉庫被惡意上傳了covd 釣魚包，並通知官方倉庫下架處理。由於國內開源映象站均同步於PyPI官方倉庫，所以該問題不僅會通過官方倉庫，還可能通過各個開源映象站影響廣大使用者，騰訊安全應急響應中心（TSRC）秉承共建安全生態的原則，TSRC在此建議各開源映象站以及對開源映象站有依賴的組織和公司，請儘快自查處理，確保惡意庫得到清除，保障使用者安全。

0x01 事件描述

11月16號 17:02 攻擊者在PyPI官方倉庫上傳了covd 惡意包，該惡意包通過偽造 covid 包名進行釣魚，攻擊者可對受感染的主機進行入侵，並實施種植木馬、命令控制等一系列活動，其中惡意程式碼存在於1.0.2/4版本中。

正常 covid 包的功能是獲取約翰斯·霍普金斯大學和worldometers.info提供的有關新型冠狀病毒的資訊，每天的安裝量上千次。在新冠疫情在世界流行的大背景下，covid包因輸錯包名而被誤裝為covd釣魚包的數量將會不斷增加。

0x02 手法分析

1. 複用covid包程式碼

從PyPI官方倉庫下載covid包和covd包，解壓發現covd釣魚包完全複製了covid的程式碼。

2. 插入惡意程式碼

covd包僅在__init__.py中新增了混淆的惡意程式碼，並通過hex編碼的方式，隱藏了C2域名 和 exec 關鍵字，非常隱蔽。惡意程式碼如下所示：

3. 使用者觸發

⽤戶安裝成功covd包，並導⼊，即 import covd 時，會觸發__init__.py中混淆的惡意程式碼，惡意程式碼的功能是從⽂件C2伺服器 遠端載入Python⽊⻢並記憶體執⾏，惡意程式碼解混淆後如下圖所示。

4. 執行Python遠控木馬

從⽂件C2伺服器（http://a.sababa.website/get ）載入的遠控⽊⻢內容如下所示，核⼼功能是命令執⾏。

⽊⻢會迴圈向命令C2伺服器( https://sababa.website/api/ready ) 詢問需要執⾏的命令，並將命令執⾏的結果以json的形式 返回給另⼀個命令C2伺服器(https://sababa.website/api/done ) 。

0x03 相關IoC

域名：

a.sababa.website  

sababa.website

url:

http://a.sababa.website/get  

https://sababa.website/api/ready   

https://sababa.website/api/done