ClickCease Uptycs, GitHub의 가짜 개념 증명 리포지토리에 대한 경고

인기 뉴스레터 구독하기

4,500명 이상의 Linux 및 오픈소스 전문가와 함께하세요!

한 달에 두 번. 스팸이 없습니다.

Uptycs, GitHub의 가짜 개념 증명 리포지토리에 대한 경고

2023년 7월 26일 TuxCare 홍보팀

최근 공개된 리눅스 커널의 심각도가 높은 결함인 CVE-2023-35829에 대한 합법적인 PoC로 가장한 가짜 개념 증명(PoC) 리포지토리가 GitHub에서 Uptycs에 의해 발견되었습니다. 그러나 실제로는 손상된 호스트에서 중요한 데이터를 훔치고 위협 공격자가 원격으로 액세스할 수 있도록 허용하는 백도어입니다.

Uptcs는 리눅스 커널의 심각도가 높은 결함인 CVE-2023-35829에 대한 PoC로 위장한 사기성 리포지토리를 발견했습니다. 자세히 조사한 결과, 연구원들은 예기치 않은 네트워크 연결, 비정상적인 데이터 전송, 무단 시스템 액세스 시도와 같은 의심스러운 활동을 발견했습니다. 더 자세히 조사한 결과, 이 PoC는 또 다른 Linux 커널 취약점인 CVE-2022-34918에 대한 이전의 합법적인 익스플로잇의 사본이라는 사실을 발견했습니다. 유일하게 추가된 것은 "src/aclocal.m4"라는 파일로, 이 파일은 리눅스 배시 스크립트의 다운로더로 작동하여 멀웨어의 지속성을 용이하게 합니다.

합법적인 PoC로 위장한 이 악성 백도어를 통해 위협 공격자는 '.ssh/authorized_keys' 파일에 SSH 키를 추가하여 원격 액세스를 할 수 있었습니다. 이 기능을 통해 호스트 이름과 사용자 이름부터 홈 디렉터리 콘텐츠의 전체 목록에 이르기까지 방대한 양의 데이터를 유출할 수 있었습니다. 가짜 PoC를 실행한 사람들은 잠재적인 데이터 침해의 정도가 높았습니다.

백도어는 호스트 이름, 사용자 이름, 홈 디렉터리 콘텐츠, SSH 키 등 다양한 민감한 데이터를 훔칠 수 있습니다. 또한 공격자의 SSH 키를 "authorized_keys" 파일에 추가하여 손상된 호스트에 원격으로 액세스하는 데 사용할 수도 있습니다.

Uptycs는 또 다른 GitHub 프로필인 ChriSanders22가 VMware Fusion CVE-2023-20871에 대한 가짜 PoC를 유포하는 것을 확인했습니다. 놀랍게도 이 프로필은 숨겨진 백도어 설치를 트리거하는 동일한 aclocal.m4 파일을 가지고 있었습니다. CVE-2023-35829에 대한 또 다른 가짜 PoC를 호스팅하는 별도의 GitHub 프로필이 발견되었습니다.

이번 발견은 이전에 널리 사용되는 소프트웨어에 대한 PoC 익스플로잇을 가장하여 멀웨어를 배포하기 위해 보안 연구원을 사칭하는 가짜 GitHub 계정을 발견한 사건에 이은 것입니다.

이 글의 출처는 TheHackerNews의 기사입니다.

요약
Uptycs, GitHub의 가짜 개념 증명 리포지토리에 대한 경고
기사 이름
Uptycs, GitHub의 가짜 개념 증명 리포지토리에 대한 경고
설명
GitHub에서 CVE-2023-35829에 대한 합법적인 PoC로 가장한 가짜 개념 증명(PoC) 리포지토리가 Uptycs에 의해 발견되었습니다.
작성자
게시자 이름
TuxCare
게시자 로고

Kernel 재부팅, 시스템 다운타임 또는 예정된 유지 보수 기간 없이 취약성 패치를 자동화하고 싶으신가요?

TuxCare로 라이브 패치에 대해 알아보기

TuxCare 게스트 작가 되기

시작하기

메일

가입

4,500

Linux & 오픈 소스
전문가!


뉴스레터 구독하기