警告：伪造的GitHub Repos以PoC的形式提供恶意软件

在GitHub上发现了大约六个虚假账户，在Twitter上也发现了几个。他们都使用了知名安全研究人员的头像并托管了零日攻击。据研究人员称，GitHub和Twitter上的这些虚假账户正在传播感染基于Windows和Linux的系统的恶意软件。

如果目标像GitHub一样引人注目并被广泛使用，供应链攻击可能具有高度破坏性。VulnCheck的网络安全研究人员发现了针对GitHub和Twitter的供应链攻击。

根据他们的报告，GitHub和Twitter上的多个帐户声称在流行软件中分发PoC（概念验证）零日漏洞。然而，这些都是假账户，并且PoC会传播恶意软件。

VulnCheck在2023年5月检查了GitHub存储库托管代码时发现了该活动，作者声称该代码是Signal应用程序的零日漏洞。第二天，他们发现了另一个提供WhatsApp零日攻击的帐户。

整个2023年5月，研究人员不断发现虚假账户，所有这些账户都为Google Chrome、Signal、Microsoft Exchange Server和Discord等应用程序提供零日攻击。5月下旬，研究人员在Twitter上发现了类似的帐户。

在GitHub上发现了大约六个虚假账户，在Twitter上也发现了几个。他们都使用了知名安全研究人员的头像并托管了零日攻击。

据VulnCheck称，身份不明的威胁行为者在GitHub和Twitter上创建了一个虚假账户网络，这些账户似乎与网络安全研究人员有关。为了使这些帐户具有可信度，威胁行为者使用了实际安全研究人员的个人资料照片。

研究人员注意到，这些虚假存储库被宣传为一家名为High Sierra Cyber Security的不存在公司的一部分。每个帐户都有头像、Twitter用户名、关联组织、关注者、公司网站链接和隐藏的恶意存储库。

这些虚假帐户分发一个Python脚本，通过该脚本在设备上下载并执行恶意二进制文件。值得注意的是，该恶意软件可以在基于Windows和Linux的系统上运行。GitHub帐户已被暂停，但Twitter帐户仍然在线。

研究人员认为，这种供应链攻击非常精心设计，可能造成严重后果。SolarWinds攻击是最具破坏性的供应链攻击之一，影响了许多公共和私营部门机构并造成了广泛的破坏。受恶意软件感染的软件是这次攻击的罪魁祸首。

考虑到GitHub是世界上最大的开源代码存储库，这种特定供应链攻击的后果可能更加严重。将恶意代码注入存储库或破坏它可能会影响无数端点使用的各种软件。攻击者可以部署恶意软件来窃取敏感数据、进行身份盗用或发起勒索软件攻击和电汇欺诈。

研究人员不清楚这是一项实验还是一项运动。然而，在访问不受信任的源以执行代码时必须谨慎。在此处查看完整的假账户列表。

原文始发于微信公众号（郑州网络安全）：警告：伪造的GitHub Repos以PoC的形式提供恶意软件