Uptycs advierte de un falso repositorio de pruebas de concepto en GitHub
Uptycs ha descubierto en GitHub un falso repositorio de pruebas de concepto (PoC) que se hace pasar por un PoC legítimo para CVE-2023-35829, un fallo de alta gravedad recientemente revelado en el kernel de Linux. Sin embargo, el PoC es en realidad una puerta trasera que puede robar datos confidenciales de hosts comprometidos y permitir a los actores de amenazas obtener acceso remoto.
Uptycs descubrió que el repositorio engañoso se hacía pasar por un PoC para CVE-2023-35829, un fallo de alta gravedad en el kernel de Linux. Tras una inspección más detallada, los investigadores observaron actividades sospechosas, como conexiones de red inesperadas, transferencias de datos inusuales e intentos de acceso no autorizado al sistema. Profundizando más, descubrieron que el PoC era una copia de un exploit legítimo más antiguo para otra vulnerabilidad del kernel de Linux, CVE-2022-34918. El único añadido era un archivo llamado "src/aclocal.m4", que funcionaba como descargador de un script bash de Linux, facilitando la persistencia del malware.
El backdoor malicioso, camuflado como un PoC legítimo, permitía a los actores de la amenaza obtener acceso remoto añadiendo su clave SSH al archivo ".ssh/authorized_keys". Esta capacidad permitía la filtración de una amplia gama de datos, desde nombres de host y nombres de usuario hasta listas exhaustivas del contenido de los directorios personales. El grado de compromiso potencial de los datos era alto para los que ejecutaron el PoC falso.
El backdoor puede robar una amplia gama de datos sensibles, incluyendo el nombre de host, nombre de usuario, contenido del directorio home y claves SSH. También se puede utilizar para obtener acceso remoto al host comprometido añadiendo la clave SSH del atacante al archivo "authorized_keys".
Uptycs identificó otro perfil de GitHub, ChriSanders22, que hacía circular un PoC falso para VMware Fusion CVE-2023-20871. Sorprendentemente, tenía el mismo archivo aclocal.m4 que activaba la instalación del backdoor oculto. En otro perfil de GitHub se encontró otro PoC falso para CVE-2023-35829.
El descubrimiento se produce tras un incidente anterior en el que VulnCheck detectó cuentas falsas de GitHub que se hacían pasar por investigadores de seguridad para distribuir malware bajo la apariencia de exploits PoC para software muy utilizado.
Las fuentes de este artículo incluyen un artículo en TheHackerNews.