Des chercheurs ont découvert des milliers de dépôts GitHub contenant de faux exploits PoC.
Des chercheurs du Leiden Institute of Advanced Computer Science ont découvert des milliers de dépôts sur GitHub qui proposent de fausses preuves de concept (PoC) pour des vulnérabilités et des logiciels malveillants.
Les chercheurs ont découvert divers programmes et scripts malveillants, allant des chevaux de Troie à distance à Cobalt Strike.
Plus de 47 300 dépôts affichant un exploit pour une vulnérabilité découverte entre 2017 et 2021 ont été analysés par les chercheurs à l'aide de trois mécanismes : Des analystes d'adresses IP pour comparer l'IP de l'éditeur du PoC avec des listes de blocage publiques et VT et AbuseIPDB ; une analyse binaire pour effectuer des vérifications VirusTotal des fichiers exécutables fournis et de leurs hachages ; une analyse hexadécimale et base64 : décrypter les fichiers obfusqués avant d'effectuer des vérifications binaires et IP.
Les chercheurs ont découvert 150 734 adresses IP uniques extraites et 2 864 entrées de liste de blocage correspondantes, dont 1 522 ont été détectées comme malveillantes dans les analyses antivirus de Virus Total, et 1 069 étaient présentes dans la base de données AbuseIPDB.
L'analyse binaire a examiné un certain nombre de 6 160 fichiers exécutables et a trouvé un total de 2 164 échantillons malveillants hébergés dans 1 398 référentiels. Dans l'ensemble, 4 893 des 47 313 référentiels testés ont été classés comme malveillants, la plupart d'entre eux étant associés à des bogues à partir de 2020.
Le rapport contient un petit nombre de dépôts avec de faux PoC qui ont fourni des logiciels malveillants, et les chercheurs ont déclaré que 60 autres sont en train d'être retirés de GitHub.
En enquêtant sur ces cas, les chercheurs ont découvert plusieurs programmes et scripts malveillants, allant de chevaux de Troie d'accès à distance à Cobalt Strike. Les cas examinés comprennent un PoC pour CVE-2019-0708 connu sous le nom de "BlueKeep", qui contient un script Python déguisé en base64 qui récupère un VBScript de Pastebin. Le script est le RAT Houdini, un ancien cheval de Troie basé sur JavaScript qui prend en charge l'exécution de commandes à distance via le CMD de Windows.
Par mesure de sécurité, il est conseillé aux utilisateurs de ne pas faire confiance à un dépôt GitHub provenant d'une source non vérifiée. Il est également conseillé aux testeurs de logiciels de vérifier soigneusement les PoCs qu'ils téléchargent et d'effectuer plusieurs vérifications avant de les exécuter.
Les sources de cet article comprennent un article de BleepingComputer.
Regardez cette nouvelle sur notre chaîne Youtube : https://www.youtube.com/watch?v=R6OGGQHjMYY.