Go Back   Carder.life > [ru] Forum for Russians > Новости мирового кардинга
Reload this Page Тысячи репозиториев на GitHub заражают ИБ-специалистом вредоносным ПО

CARDER.MARKET - CARDING FORUM FOR PROFESSIONAL CARDERS


 
 
Thread Tools Display Modes
Prev Previous Post   Next Post Next
  #1  
Old 01-28-2025, 02:19 PM
Artifact's Avatar

Artifact Artifact is offline
Administrator
Join Date: Jan 2024
Posts: 0
Default

Вредоносный код скрывается в поддельных PoC-эксплойтах для множества уязвимостей.

Группа исследователей из Лейденского института передовых компьютерных наук обнаружила тысячи репозиториев на GitHub, предлагающих поддельные proof-of-concept (PoC) эксплойты для множества уязвимостей.
Эксперты проанализировали размещенные на GitHub PoC для известных уязвимостей, обнаруженных в 2017-2021 годах и обнаружили, что некоторые из репозиториев были использованы хакерами для распространения вредоносного ПО. В своем отчете исследователи отметили, что площадки по типу GitHub не дают никаких гарантий того, что все PoC загружены из надежного источника.
Проводя расследование, команда обнаружила ряд одинаковых симптомов в собранном наборе данных:
  • Обращения к вредоносным IP-адресам;

  • Зашифрованный вредоносный код.

Специалисты проанализировали 47313 репозиториев, и 4893 из них оказались вредоносными (то есть 10,3% исследованных репозиториев имеют вышеперечисленные симптомы).
С IP-адресами ситуация не лучше – исследователи проанализировали 358277 IP-адресов, 150734 из них были уникальными, а 2864 были занесены в черный список. 1522 IP-адреса были помечены как вредоносные на Virus Total, а 1069 из них были занесены в базу данных AbuseIPDB.

Количество IP-адресов, находящихся в различных блок-листах.
Проводя исследование, специалисты обнаружили множество образцов вредоносных PoC и поделились несколькими примерами:
  • Репозиторий с вредоносным PoC для CVE-2019-0708, также известной как BlueKeep. Исходный код PoC содержит строку в base64, которая автоматически запускается после декодирования. Она содержит Python-скрипт, который загрузит и запустит скрипт Visual Basic c вредоносом Houdini внутри;

  • Безымянный PoC, предназначенный для сбора информации о цели. В этом случае URL-адрес сервера, на который выгружались украденные данные, был закодирован в base64-формате.

Специалисты уже проинформировали GitHub, но пользователям рекомендуется оставаться бдительными – еще не все вредоносные репозитории были найдены и удалены.
 

Tags
NULL

« Previous Thread | Next Thread »
Thread Tools
Display Modes
Threaded Mode Threaded Mode

Posting Rules
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts
BB code is On
Smilies are On
[IMG] code is On
HTML code is On
Forum Jump




All times are GMT. The time now is 10:48 AM.

Contact Us - Carder.life - Archive - Top