Uptycs警告GitHub上存在虛假的概念驗證存儲庫

GitHub 上的 Uptycs 發現一個虛假的概念驗證 （PoC） 存儲庫偽裝成 CVE-2023-35829 的合法 PoC，這是 Linux 內核中最近披露的高嚴重性漏洞。但是，PoC 實際上是一個後門，可以從受感染的主機竊取敏感數據，並允許威脅參與者獲得遠端訪問。

Uptycs 發現了偽裝成 CVE-2023-35829 PoC 的欺騙性存儲庫，這是 Linux 內核中的一個高嚴重性漏洞。經過仔細檢查，研究人員注意到可疑活動，例如意外的網路連接，異常的數據傳輸和未經授權的系統訪問嘗試。進一步研究，他們發現PoC是另一個Linux內核漏洞 CVE-2022-34918 的較舊合法漏洞的副本。唯一添加的是一個名為“src/aclocal.m4”的檔，它充當Linux bash腳本的下載器，促進了惡意軟體的持久性。

偽裝成合法PoC的惡意後門允許威脅行為者通過將SSH密鑰添加到“.ssh/authorized_keys”文件來獲得遠端訪問。此功能能夠洩露大量數據，從主機名和使用者名到主目錄內容的詳盡清單。對於那些執行虛假 PoC 的人來說，潛在的數據洩露程度很高。

後門可以竊取各種敏感數據，包括主機名、使用者名、主目錄內容和 SSH 金鑰。它還可用於通過將攻擊者的 SSH 金鑰添加到「authorized_keys」檔來遠端訪問受感染的主機。

Uptycs發現了另一個GitHub配置檔ChriSanders22，該配置檔為VMware Fusion CVE-2023-20871傳播了偽造的PoC。值得注意的是，它具有相同的aclocal.m4檔觸發隱藏後門的安裝。發現一個單獨的 GitHub 配置檔託管另一個針對 CVE-2023-35829 的虛假 PoC。

這一發現是在之前的一次事件之後發現的，其中VulnCheck檢測到虛假的GitHub帳戶冒充安全研究人員，以PoC漏洞為幌子分發惡意軟體，用於廣泛使用的軟體。

這篇文章的來源包括 TheHackerNews上的一篇文章。

總結

文章名稱

Uptycs警告GitHub上存在虛假的概念驗證存儲庫

描述

GitHub 上的 Uptycs 發現了一個虛假的概念驗證 （PoC） 存儲庫，偽裝成 CVE-2023-35829 的合法 PoC。

作者

奧班拉·奧佩耶米

發行者名稱

燕尾服護理

發行者徽標