Forscher entdecken Tausende von GitHub-Repositories mit gefälschten PoC-Exploits
Forscher des Leiden Institute of Advanced Computer Science haben Tausende von Repositories auf GitHub entdeckt, die gefälschte Proof-of-Concept (PoC) Exploits für Schwachstellen und Malware anbieten.
Die Forscher haben verschiedene Schadprogramme und bösartige Skripte von Remote-Trojanern bis hin zu Cobalt Strike entdeckt.
Mehr als 47.300 Repositories, die einen Exploit für eine zwischen 2017 und 2021 entdeckte Schwachstelle enthalten, wurden von den Forschern mit drei Mechanismen analysiert: IP-Adressanalysten zum Vergleich der Herausgeber-IP des PoC mit öffentlichen Blocklisten und VT- und AbuseIPDB; Binäranalyse zur Durchführung von VirusTotal-Prüfungen der bereitgestellten ausführbaren Dateien und ihrer Hashes; Hexadezimal- und Base64-Analyse: Entschlüsselung obfuskierter Dateien vor der Durchführung von Binär- und IP-Prüfungen.
Die Forscher entdeckten 150.734 eindeutige IP-Adressen, die extrahiert wurden, und 2.864 übereinstimmende Blocklisteneinträge, von denen 1.522 bei Antiviren-Scans auf Virus Total als bösartig erkannt wurden und 1.069 in der AbuseIPDB-Datenbank vorhanden waren.
Die Binäranalyse untersuchte eine Anzahl von 6.160 ausführbaren Dateien und fand insgesamt 2.164 bösartige Muster, die in 1.398 Repositories gehostet wurden. Insgesamt wurden 4.893 der 47.313 getesteten Repositories als bösartig eingestuft, wobei die meisten von ihnen mit Bugs ab 2020 in Verbindung gebracht wurden.
Der Bericht enthält eine kleine Anzahl von Repositories mit gefälschten PoCs, die Malware lieferten, und die Forscher sagten, dass 60 weitere von GitHub entfernt werden.
Bei der Untersuchung der Fälle entdeckten die Forscher mehrere bösartige Programme und Skripte, die von Remote-Access-Trojanern bis zu Cobalt Strike reichen. Zu den untersuchten Fällen gehört ein PoC für CVE-2019-0708, bekannt als "BlueKeep", der ein als base64 getarntes Python-Skript enthält, das ein VBScript von Pastebin abruft. Bei dem Skript handelt es sich um den Houdini RAT, einen alten JavaScript-basierten Trojaner, der die Remote-Befehlsausführung über die Windows CMD unterstützt.
Als Sicherheitsvorkehrung wird den Nutzern empfohlen, keinem GitHub-Repository aus einer nicht verifizierten Quelle zu vertrauen. Software-Testern wird außerdem empfohlen, die heruntergeladenen PoCs sorgfältig zu prüfen und vor der Ausführung mehrere Prüfungen durchzuführen.
Zu den Quellen für diesen Beitrag gehört ein Artikel in BleepingComputer.
Sehen Sie sich diese Nachricht auf unserem Youtube-Kanal an: https://www.youtube.com/watch?v=R6OGGQHjMYY