至少有一半与欺诈性网络安全公司关联的假研究员的 GitHub 账户被观察到在代码托管服务上推送恶意仓库。
所有七个仓库,截至写作时仍可用,声称是 Discord、Google Chrome 和 Microsoft Exchange Server 中所谓的零日漏洞的概念验证(PoC)利用。
VulnCheck 发现了这个活动,它说,“创建这些仓库的个人投入了大量的努力让他们看起来合法,通过创建一个账户和 Twitter 账户网络,假装是一个不存在的名为 High Sierra Cyber Security 的公司的一部分。”
该网络安全公司表示,它首次遇到这些恶意仓库是在五月初,当时它们被观察到释放了针对 Signal 和 WhatsApp 的零日漏洞的类似 PoC 利用。这两个仓库已经被撤下。
除了在 Twitter 上分享一些所谓的发现,试图建立合法性外,这些账户已被发现使用来自 Rapid7 等公司的实际安全研究员的肖像,这表明威胁行为者已经付出了巨大的努力来执行这个活动。
PoC 是一个 Python 脚本,设计用来下载一个恶意二进制文件并在受害者的操作系统上执行,无论是 Windows 还是 Linux。
以下是 GitHub 仓库和假 Twitter 账户的列表 -
github.com/AKuzmanHSCS/Microsoft-Exchange-RCE
github.com/BAdithyaHSCS/Exchange-0-Day
github.com/DLandonHSCS/Discord-RCE
github.com/GSandersonHSCS/discord-0-day-fix
github.com/MHadzicHSCS/Chrome-0-day
github.com/RShahHSCS/Discord-0-Day-Exploit
github.com/SsankkarHSCS/Chromium-0-Day
twitter.com/AKuzmanHSCS
twitter.com/DLandonHSCS
twitter.com/GSandersonHSCS
twitter.com/MHadzicHSCS
“攻击者付出了大量的努力来创建所有这些假的账户,只是为了传递非常明显的恶意软件,” VulnCheck 研究员 Jacob Baines 说。“目前还不清楚他们是否成功,但鉴于他们继续追求这种攻击手段,他们似乎相信他们将会成功。”
目前还不知道这是业余攻击者的作品还是一个APT攻击行为。但安全研究员之前已经被朝鲜国家级APT团体的雷达监视,这是 Google 在 2021 年 1 月揭示的。
如果有任何发现,那就是在下载来自开源仓库的代码时需要谨慎。也很重要的是,用户在执行代码之前需要仔细检查,以确保他们不构成任何安全风险。
原文始发于微信公众号(XDsecurity):威胁情报信息分享|伪造研究员账户通过 GitHub 仓库以 PoC 漏洞利用方式传播恶意软件
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论