Pesquisadores descobriram milhares de repositórios do GitHub que oferecem exploits falsos de prova de conceito (PoC) para várias falhas usadas para distribuir malware.
Malwares distribuídos em repositórios GitHub
Uma equipe de pesquisadores do Instituto Leiden de Ciência da Computação Avançada descobriu milhares de repositórios no GitHub que oferecem explorações falsas de prova de conceito (PoC) para várias vulnerabilidades. Esses especialistas analisaram PoCs compartilhados no GitHub para vulnerabilidades conhecidas descobertas em 2017-2021, alguns desses repositórios foram usados ??por agentes de ameaças para espalhar malware.
Segundo os especialistas, os repositórios de código públicos não fornecem nenhuma garantia de que qualquer PoC venha de uma fonte confiável. “Descobrimos que nem todos os PoCs são confiáveis. Algumas provas de conceito são falsas (ou seja, na verdade não oferecem funcionalidade PoC) ou mesmo maliciosas: por exemplo, tentam exfiltrar dados do sistema em que estão sendo executados ou tentam instalar malware nesse sistema”.
Esforços para as descobertas
A equipe se concentrou em um conjunto de sintomas observados no conjunto de dados coletado, como chamadas para endereços IP maliciosos, código malicioso codificado ou binários trojanizados incluídos. Os boffins analisaram 47.313 repositórios e 4.893 deles eram repositórios maliciosos. Ou seja, 10,3% dos repositórios estudados apresentam sintomas de intenção maliciosa.
“Esta figura (imagem abaixo)mostra uma prevalência preocupante de PoCs maliciosos perigosos entre o código de exploração distribuído no GitHub”, continua a análise dos especialistas.
Os pesquisadores analisaram um total de 358.277 endereços IP, 150.734 deles eram IPs únicos e 2.864 estavam na lista negra. 1.522 endereços IP foram rotulados como maliciosos pelo Virus Total, e 1.069 deles foram listados no banco de dados AbuseIPDB.
Dos 150.734 IPs exclusivos extraídos, 2.864 corresponderam às entradas da lista negra. 1.522 foram detectados como maliciosos em varreduras AV no Virus Total e 1.069 estavam presentes no banco de dados AbuseIPDB. A maioria das detecções maliciosas está relacionada a vulnerabilidades de 2020.
Durante sua pesquisa, os especialistas encontraram vários exemplos de PoC maliciosos desenvolvidos para CVEs e compartilharam alguns estudos de caso. Um dos exemplos está relacionado a um PoC desenvolvido para o CVE-2019-0708, também conhecido como BlueKeep.
Os boffins explicaram que seu estudo tem várias limitações. Por exemplo, a API do GitHub provou não ser confiável e nem todos os repositórios correspondentes aos IDs CVE usados ??foram coletados. Outra limitação está relacionada ao uso de heurísticas para detecção de PoCs maliciosos. Especialistas explicaram que a abordagem pode perder alguns PoCs maliciosos em seu conjunto de dados.
Os pesquisadores compartilharam suas descobertas com o GitHub e alguns dos repositórios maliciosos ainda não foram removidos.