威胁情报信息分享|伪造研究员账户通过 GitHub 仓库以 PoC 漏洞利用方式传播恶意软件

至少有一半与欺诈性网络安全公司关联的假研究员的 GitHub 账户被观察到在代码托管服务上推送恶意仓库。

所有七个仓库，截至写作时仍可用，声称是 Discord、Google Chrome 和 Microsoft Exchange Server 中所谓的零日漏洞的概念验证（PoC）利用。

VulnCheck 发现了这个活动，它说，“创建这些仓库的个人投入了大量的努力让他们看起来合法，通过创建一个账户和 Twitter 账户网络，假装是一个不存在的名为 High Sierra Cyber Security 的公司的一部分。”

该网络安全公司表示，它首次遇到这些恶意仓库是在五月初，当时它们被观察到释放了针对 Signal 和 WhatsApp 的零日漏洞的类似 PoC 利用。这两个仓库已经被撤下。

除了在 Twitter 上分享一些所谓的发现，试图建立合法性外，这些账户已被发现使用来自 Rapid7 等公司的实际安全研究员的肖像，这表明威胁行为者已经付出了巨大的努力来执行这个活动。

PoC 是一个 Python 脚本，设计用来下载一个恶意二进制文件并在受害者的操作系统上执行，无论是 Windows 还是 Linux。

以下是 GitHub 仓库和假 Twitter 账户的列表 -

github.com/AKuzmanHSCS/Microsoft-Exchange-RCE

github.com/BAdithyaHSCS/Exchange-0-Day

github.com/DLandonHSCS/Discord-RCE

github.com/GSandersonHSCS/discord-0-day-fix

github.com/MHadzicHSCS/Chrome-0-day

github.com/RShahHSCS/Discord-0-Day-Exploit

github.com/SsankkarHSCS/Chromium-0-Day

twitter.com/AKuzmanHSCS

twitter.com/DLandonHSCS

twitter.com/GSandersonHSCS

twitter.com/MHadzicHSCS

“攻击者付出了大量的努力来创建所有这些假的账户，只是为了传递非常明显的恶意软件，” VulnCheck 研究员 Jacob Baines 说。“目前还不清楚他们是否成功，但鉴于他们继续追求这种攻击手段，他们似乎相信他们将会成功。”

目前还不知道这是业余攻击者的作品还是一个APT攻击行为。但安全研究员之前已经被朝鲜国家级APT团体的雷达监视，这是 Google 在 2021 年 1 月揭示的。

如果有任何发现，那就是在下载来自开源仓库的代码时需要谨慎。也很重要的是，用户在执行代码之前需要仔细检查，以确保他们不构成任何安全风险。

原文始发于微信公众号（XDsecurity）：威胁情报信息分享|伪造研究员账户通过 GitHub 仓库以 PoC 漏洞利用方式传播恶意软件