Uptycs, GitHub의 가짜 개념 증명 리포지토리에 대한 경고
최근 공개된 리눅스 커널의 심각도가 높은 결함인 CVE-2023-35829에 대한 합법적인 PoC로 가장한 가짜 개념 증명(PoC) 리포지토리가 GitHub에서 Uptycs에 의해 발견되었습니다. 그러나 실제로는 손상된 호스트에서 중요한 데이터를 훔치고 위협 공격자가 원격으로 액세스할 수 있도록 허용하는 백도어입니다.
Uptcs는 리눅스 커널의 심각도가 높은 결함인 CVE-2023-35829에 대한 PoC로 위장한 사기성 리포지토리를 발견했습니다. 자세히 조사한 결과, 연구원들은 예기치 않은 네트워크 연결, 비정상적인 데이터 전송, 무단 시스템 액세스 시도와 같은 의심스러운 활동을 발견했습니다. 더 자세히 조사한 결과, 이 PoC는 또 다른 Linux 커널 취약점인 CVE-2022-34918에 대한 이전의 합법적인 익스플로잇의 사본이라는 사실을 발견했습니다. 유일하게 추가된 것은 "src/aclocal.m4"라는 파일로, 이 파일은 리눅스 배시 스크립트의 다운로더로 작동하여 멀웨어의 지속성을 용이하게 합니다.
합법적인 PoC로 위장한 이 악성 백도어를 통해 위협 공격자는 '.ssh/authorized_keys' 파일에 SSH 키를 추가하여 원격 액세스를 할 수 있었습니다. 이 기능을 통해 호스트 이름과 사용자 이름부터 홈 디렉터리 콘텐츠의 전체 목록에 이르기까지 방대한 양의 데이터를 유출할 수 있었습니다. 가짜 PoC를 실행한 사람들은 잠재적인 데이터 침해의 정도가 높았습니다.
백도어는 호스트 이름, 사용자 이름, 홈 디렉터리 콘텐츠, SSH 키 등 다양한 민감한 데이터를 훔칠 수 있습니다. 또한 공격자의 SSH 키를 "authorized_keys" 파일에 추가하여 손상된 호스트에 원격으로 액세스하는 데 사용할 수도 있습니다.
Uptycs는 또 다른 GitHub 프로필인 ChriSanders22가 VMware Fusion CVE-2023-20871에 대한 가짜 PoC를 유포하는 것을 확인했습니다. 놀랍게도 이 프로필은 숨겨진 백도어 설치를 트리거하는 동일한 aclocal.m4 파일을 가지고 있었습니다. CVE-2023-35829에 대한 또 다른 가짜 PoC를 호스팅하는 별도의 GitHub 프로필이 발견되었습니다.
이번 발견은 이전에 널리 사용되는 소프트웨어에 대한 PoC 익스플로잇을 가장하여 멀웨어를 배포하기 위해 보안 연구원을 사칭하는 가짜 GitHub 계정을 발견한 사건에 이은 것입니다.
이 글의 출처는 TheHackerNews의 기사입니다.