Carder.life

Carder.life (http://txgate.io:443/index.php)
-   Новости мирового кардинга (http://txgate.io:443/forumdisplay.php?f=18)
-   -   Тысячи репозиториев на GitHub заражают ИБ-специалистом вредоносным ПО (http://txgate.io:443/showthread.php?t=11305)

Artifact 01-28-2025 02:19 PM

Вредоносный код скрывается в поддельных PoC-эксплойтах для множества уязвимостей.
https://www.securitylab.ru/upload/ib...63z9t2zshf.jpg
Группа исследователей из Лейденского института передовых компьютерных наук обнаружила тысячи репозиториев на GitHub, предлагающих поддельные proof-of-concept (PoC) эксплойты для множества уязвимостей.
Эксперты проанализировали размещенные на GitHub PoC для известных уязвимостей, обнаруженных в 2017-2021 годах и обнаружили, что некоторые из репозиториев были использованы хакерами для распространения вредоносного ПО. В своем отчете исследователи отметили, что площадки по типу GitHub не дают никаких гарантий того, что все PoC загружены из надежного источника.
Проводя расследование, команда обнаружила ряд одинаковых симптомов в собранном наборе данных:<ul><li>Обращения к вредоносным IP-адресам;</li>
</ul><ul><li>Зашифрованный вредоносный код.</li>
</ul>Специалисты проанализировали 47313 репозиториев, и 4893 из них оказались вредоносными (то есть 10,3% исследованных репозиториев имеют вышеперечисленные симптомы).
С IP-адресами ситуация не лучше – исследователи проанализировали 358277 IP-адресов, 150734 из них были уникальными, а 2864 были занесены в черный список. 1522 IP-адреса были помечены как вредоносные на Virus Total, а 1069 из них были занесены в базу данных AbuseIPDB.
https://www.securitylab.ru/upload/im...t-img(639).png
Количество IP-адресов, находящихся в различных блок-листах.
Проводя исследование, специалисты обнаружили множество образцов вредоносных PoC и поделились несколькими примерами:<ul><li>Репозиторий с вредоносным PoC для CVE-2019-0708, также известной как BlueKeep. Исходный код PoC содержит строку в base64, которая автоматически запускается после декодирования. Она содержит Python-скрипт, который загрузит и запустит скрипт Visual Basic c вредоносом Houdini внутри;</li>
</ul><ul><li>Безымянный PoC, предназначенный для сбора информации о цели. В этом случае URL-адрес сервера, на который выгружались украденные данные, был закодирован в base64-формате.</li>
</ul>Специалисты уже проинформировали GitHub, но пользователям рекомендуется оставаться бдительными – еще не все вредоносные репозитории были найдены и удалены.


All times are GMT. The time now is 10:50 AM.

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.