Тысячи репозиториев на GitHub заражают ИБ-специалистов вредоносным ПО

Группа исследователей из Лейденского института передовых компьютерных наук обнаружила тысячи репозиториев на GitHub, предлагающих поддельные proof-of-concept (PoC) эксплойты для множества уязвимостей.

Эксперты проанализировали размещенные на GitHub PoC для известных уязвимостей, обнаруженных в 2017-2021 годах и обнаружили, что некоторые из репозиториев были использованы хакерами для распространения вредоносного ПО. В своем отчете исследователи отметили, что площадки по типу GitHub не дают никаких гарантий того, что все PoC загружены из надежного источника.

Проводя расследование, команда обнаружила ряд одинаковых симптомов в собранном наборе данных:

• Обращения к вредоносным IP-адресам;

• Зашифрованный вредоносный код.

Специалисты проанализировали 47313 репозиториев, и 4893 из них оказались вредоносными (то есть 10,3% исследованных репозиториев имеют вышеперечисленные симптомы).

С IP-адресами ситуация не лучше – исследователи проанализировали 358277 IP-адресов, 150734 из них были уникальными, а 2864 были занесены в черный список. 1522 IP-адреса были помечены как вредоносные на Virus Total, а 1069 из них были занесены в базу данных AbuseIPDB.

Количество IP-адресов, находящихся в различных блок-листах.

Проводя исследование, специалисты обнаружили множество образцов вредоносных PoC и поделились несколькими примерами:

• Репозиторий с вредоносным PoC для CVE-2019-0708, также известной как BlueKeep. Исходный код PoC содержит строку в base64, которая автоматически запускается после декодирования. Она содержит Python-скрипт, который загрузит и запустит скрипт Visual Basic c вредоносом Houdini внутри;

• Безымянный PoC, предназначенный для сбора информации о цели. В этом случае URL-адрес сервера, на который выгружались украденные данные, был закодирован в base64-формате.

Специалисты уже проинформировали GitHub, но пользователям рекомендуется оставаться бдительными – еще не все вредоносные репозитории были найдены и удалены.