Вредоносный код скрывается в поддельных PoC-эксплойтах для множества уязвимостей.
Группа исследователей из Лейденского института передовых компьютерных наук обнаружила тысячи репозиториев на GitHub, предлагающих поддельные proof-of-concept (PoC) эксплойты для множества уязвимостей.
Эксперты проанализировали размещенные на GitHub PoC для известных уязвимостей, обнаруженных в 2017-2021 годах и обнаружили, что некоторые из репозиториев были использованы хакерами для распространения вредоносного ПО. В своем отчете исследователи отметили, что площадки по типу GitHub не дают никаких гарантий того, что все PoC загружены из надежного источника.
Проводя расследование, команда обнаружила ряд одинаковых симптомов в собранном наборе данных:
- Обращения к вредоносным IP-адресам;
- Зашифрованный вредоносный код.
Специалисты проанализировали 47313 репозиториев, и 4893 из них оказались вредоносными (то есть 10,3% исследованных репозиториев имеют вышеперечисленные симптомы).
С IP-адресами ситуация не лучше – исследователи проанализировали 358277 IP-адресов, 150734 из них были уникальными, а 2864 были занесены в черный список. 1522 IP-адреса были помечены как вредоносные на Virus Total, а 1069 из них были занесены в базу данных AbuseIPDB.
.png)
Количество IP-адресов, находящихся в различных блок-листах.
Проводя исследование, специалисты обнаружили множество образцов вредоносных PoC и поделились несколькими примерами:
- Репозиторий с вредоносным PoC для CVE-2019-0708, также известной как BlueKeep. Исходный код PoC содержит строку в base64, которая автоматически запускается после декодирования. Она содержит Python-скрипт, который загрузит и запустит скрипт Visual Basic c вредоносом Houdini внутри;
- Безымянный PoC, предназначенный для сбора информации о цели. В этом случае URL-адрес сервера, на который выгружались украденные данные, был закодирован в base64-формате.
Специалисты уже проинформировали GitHub, но пользователям рекомендуется оставаться бдительными – еще не все вредоносные репозитории были найдены и удалены.