Soporte técnico
Documentación
Inicio de sesión
Póngase en contacto con nosotros
Investigadores descubren miles de repositorios de GitHub con falsos exploits PoC
11 de noviembre de 2022 - Equipo de Relaciones Públicas de TuxCare
Investigadores del Instituto de Informática Avanzada de Leiden han descubierto miles de repositorios en GitHub que ofrecen falsas pruebas de concepto (PoC) de vulnerabilidades y malware.
Los investigadores han descubierto varios programas maliciosos y scripts maliciosos, desde troyanos remotos hasta Cobalt Strike.
Los investigadores analizaron más de 47 300 repositorios que mostraban un exploit para una vulnerabilidad descubierta entre 2017 y 2021 mediante tres mecanismos: Analistas de direcciones IP para comparar la IP del editor del PoC con listas de bloqueo públicas y VT y AbuseIPDB; análisis binario para realizar comprobaciones de VirusTotal de los archivos ejecutables proporcionados y sus hashes; análisis hexadecimal y base64: descifrar archivos ofuscados antes de realizar comprobaciones binarias y de IP.
Los investigadores descubrieron 150.734 direcciones IP únicas extraídas y 2.864 entradas de listas de bloqueo coincidentes, de las cuales 1.522 fueron detectadas como maliciosas en los análisis antivirus de Virus Total y 1.069 estaban presentes en la base de datos AbuseIPDB.
El análisis binario examinó 6.160 archivos ejecutables y encontró un total de 2.164 muestras maliciosas alojadas en 1.398 repositorios. En total, 4.893 de los 47.313 repositorios analizados se clasificaron como maliciosos, la mayoría de ellos asociados a fallos a partir de 2020.
El informe contiene un pequeño número de repositorios con PoCs falsos que proporcionaban malware, y los investigadores dijeron que 60 más están siendo eliminados de GitHub.
Mientras investigaban los casos, los investigadores descubrieron varios programas y scripts maliciosos, desde troyanos de acceso remoto hasta Cobalt Strike. Los casos investigados incluyen un PoC para CVE-2019-0708 conocido como "BlueKeep", que contiene un script Python camuflado en base64 que obtiene un VBScript de Pastebin. El script es el Houdini RAT, un antiguo troyano basado en JavaScript que permite la ejecución remota de comandos a través del CMD de Windows.
Como precaución de seguridad, se aconseja a los usuarios que no confíen en un repositorio de GitHub de una fuente no verificada. También se aconseja a los probadores de software que comprueben cuidadosamente las PoC que descarguen y realicen múltiples comprobaciones antes de ejecutarlas.
Las fuentes de este artículo incluyen un artículo en BleepingComputer.
Vea esta noticia en nuestro canal de Youtube: https://www.youtube.com/watch?v=R6OGGQHjMYY
