GitHub 上的虚假0day PoC 推送 Windows 和 Linux 恶意软件

这些恶意利用由虚假网络安全公司 “High Sierra Cyber Security” 的虚假研究员发布，他们在推特上推销 GitHub 仓库，可能瞄准的是涉及漏洞研究的企业。这些仓库看似合法，而其维护人员冒充 Rapid7 公司和其它安全企业的研究员，甚至还使用真正研究员的头像。

这些人员在推特上维护账户，为其在 GitHub 上的研究和代码仓库增加合法性并从社交媒体平台上搜罗受害者。

这起活动由 VulnCheck 发现，他表示该攻击最早开始于2023年5月，冒充者推销热门软件如 Chrome、Discord、Signal、WhatsApp 和 Microsoft Exchange 等中0day 漏洞的利用。

在所有情况下，这些恶意仓库中都托管着 Python 脚本 (‘poc.py’)，作为Linux 和 Windows 系统的恶意软件加载器。该脚本根据受害者所用系统从外部 URL 下载 ZIP 文档，Linux 用户会下载 “cvslinux.zip” 而 Windows 用户会收到 “cvswindows.zip”。该恶意软件被保存到 Windows %Temp% 或 Linux /home/<username>/.local/share 文件夹，被提取并执行。

VulnCheck 报告称，该 ZIP 文档 (‘cvs_windows.exe’) 中所包含的 Windows 二进制被 VirusTotal 上60%的 AV 引擎标记，而Linux 二进制 (“cves_linux’) 更加隐秘，仅被三个扫描器捕捉。

目前尚不清楚所安装的恶意软件性质，不过这两个可执行文件均安装 TOR 客户端，而 Windows 版本被某些引擎识别为密码窃取木马。虽然这起攻击活动是否成功仍不清楚，但 VulnCheck 提到威胁行动者似乎是持久性质，每当被举报和删除后，就会新建账户和仓库。

目前，应避免如下7个GitHub 仓库：

另外，如下推特账户是冒牌研究员，是不可信的：

安全研究员和网络安全爱好者从未知仓库下载脚本时应警惕。

朝鲜 Lazarus 国家黑客组织在2021年1月实施了类似攻击活动。该组织在社交媒体创建虚假漏洞研究员人设，通过恶意软件和 0day 攻击研究员。同年晚些时候，他们通过木马版 IDA Pro 逆向软件安装远程访问木马。最近，研究员发现 GitHub 平台上的数千个仓库提交了多个漏洞的虚假 PoC 利用，其中一些以恶意软件、恶意 PowerShell、遭混淆的信息窃取下载工具、Cobalt Strike 释放器等感染用户。

威胁行动者通过攻击漏洞研究和网络安全社区访问可用于攻击中的漏洞研究成果。更糟糕的是，在很多情况下，该恶意软件会提供对网络安全公司网络的初始访问权限，从而进一步导致数据盗取和勒索攻击活动。

随着网络安全企业倾向于在客户端上放置敏感信息如漏洞评估、远程访问凭据甚至是未披露的 0day 漏洞，这种访问权限对于威胁行动者而言价值很大。因此，从 GitHub 下载代码时，审计所有代码中是否存在恶意行为十分重要。在本案例中，恶意软件的下载和执行在 PoC 中显而易见，但由于威胁行动者可能混淆恶意代码，因此并非所有情况皆如此。