25/10/22
Группа исследователей из Лейденского института передовых компьютерных наук обнаружила тысячи репозиториев на GitHub, предлагающих поддельные proof-of-concept (PoC) эксплойты для множества уязвимостей. Об этом пишет Securitylab.
Эксперты проанализировали размещенные на GitHub PoC для известных уязвимостей, обнаруженных в 2017-2021 годах и обнаружили, что некоторые из репозиториев были использованы хакерами для распространения вредоносного ПО. В своем отчете исследователи отметили, что площадки по типу GitHub не дают никаких гарантий того, что все PoC загружены из надежного источника.
Проводя расследование, команда обнаружила ряд одинаковых симптомов в собранном наборе данных:
- Обращения к вредоносным IP-адресам;
- Зашифрованный вредоносный код.
Специалисты проанализировали 47313 репозиториев, и 4893 из них оказались вредоносными (то есть 10,3% исследованных репозиториев имеют вышеперечисленные симптомы).
С IP-адресами ситуация не лучше – исследователи проанализировали 358277 IP-адресов, 150734 из них были уникальными, а 2864 были занесены в черный список. 1522 IP-адреса были помечены как вредоносные на Virus Total, а 1069 из них были занесены в базу данных AbuseIPDB.
.png?width=459&height=596&name=content-img(639).png)
Проводя исследование, специалисты обнаружили множество образцов вредоносных PoC и поделились несколькими примерами:
- Репозиторий с вредоносным PoC для CVE-2019-0708, также известной как BlueKeep. Исходный код PoC содержит строку в base64, которая автоматически запускается после декодирования. Она содержит Python-скрипт, который загрузит и запустит скрипт Visual Basic c вредоносом Houdini внутри;
- Безымянный PoC, предназначенный для сбора информации о цели. В этом случае URL-адрес сервера, на который выгружались украденные данные, был закодирован в base64-формате.
Специалисты уже проинформировали GitHub, но пользователям рекомендуется оставаться бдительными – еще не все вредоносные репозитории были найдены и удалены.
