malware github
Imagen obtenida en GitHub.

PoC falso con malware de robo de datos descubierto en GitHub

El PoC contiene una puerta trasera, que tiene amplias capacidades de robo de datos y puede filtrar una amplia gama de datos del nombre de host y el nombre de usuario a una lista exhaustiva de contenidos del directorio de inicio.

Se descubrió un repositorio falso en GitHub que se disfrazaba como un repositorio de prueba de concepto (PoC) que demostraba una vulnerabilidad, pero en su lugar era una puerta trasera oculta para el robo de datos, según una investigación de Uptycs.

Esta puerta trasera de GitHub afectó particularmente a la comunidad de investigación de ciberseguridad, ya que los investigadores confían en los PoC para comprender las posibles vulnerabilidades. Así lo explicaba Uptycs en el informe de la investigación:

En este caso, el PoC es un lobo con piel de oveja, que alberga intenciones maliciosas bajo la apariencia de una herramienta de aprendizaje inofensiva. La puerta trasera funciona como un descargador. Vuelca y ejecuta silenciosamente un script bash de Linux mientras disfraza sus operaciones como un proceso a nivel de kernel.

La puerta trasera tiene amplias capacidades de robo de datos y puede filtrar una amplia gama de datos del nombre de host y el nombre de usuario a una lista exhaustiva de contenidos del directorio de inicio. “Un atacante puede obtener acceso completo a un sistema de destino agregando su clave ssh al archivo authorized_keys”.

Si bien el PoC falso se eliminó de GitHub, según los investigadores, se había compartido ampliamente, obteniendo una participación significativa antes de que fuera expuesto. “Para aquellos que lo han ejecutado, la probabilidad de que los datos se vean comprometidos es alta”, dijo Uptycs.

El PoC falso

El PoC falso afirmaba abordar una vulnerabilidad crítica, el CVE-2023-35829. Los investigadores de Uptycs descubrieron varias actividades inusuales que sugerían que el PoC podría ser engañoso.

La actividad sospechosa incluía conexiones de red inesperadas, transferencias de datos inusuales e intentos de acceso al sistema no autorizados.

Tras la investigación, se descubrió que el PoC es una copia de un exploit antiguo y legítimo para otra vulnerabilidad del kernel de Linux, CVE-2022-34918. La única diferencia fue un archivo adicional “src/aclocal.m4“, que actuó como un descargador para un script bash de Linux.

El PoC se utiliza para crear ejecutables a partir de archivos de código fuente. Aprovecha el comando “hacer” para crear un archivo “kworker” y agrega su ruta de archivo al archivo “bashrc”, lo que permite que el malware opere continuamente dentro del sistema de la víctima. Los investigadores dijeron que esta metodología de persistencia es bastante astuta.

Los investigadores también observaron al mismo perfil, ChriSander22 en GitHub, haciendo circular otra PoC falsa para VMware Fusion CVE-2023-20871. “Su contenido es el mismo que CVE-2023-35829, con el mismo aclocal.m4 que activa la instalación de la puerta trasera oculta”, dijo Uptycs.

Protección contra PoC maliciosos

Puede ser un desafío distinguir los PoC legítimos de los engañosos. Sin embargo, la adopción de prácticas seguras como las pruebas en entornos aislados o máquinas virtuales, puede proporcionar una capa de protección para los investigadores de seguridad.

En este caso particular, Uptycs recomienda eliminar cualquier clave ssh no autorizada, eliminar el archivo kworker, eliminar la ruta de kworker del archivo bashrc y verificar /tmp/.iCE-unix.pid en busca de posibles amenazas.

Aunque no es del todo nueva, esta tendencia de propagar malware a través de PoC plantea una preocupación importante, y es probable que veamos que esta táctica continúa evolucionando.

En mayo, VulnCheck informó a GitHub sobre repositorios maliciosos de GitHub que afirmaban ser un Día Cero de Signal y un Día Cero de WhatsApp. La firma de ciberseguridad dijo que recientemente el actor de amenazas que crea estos repositorios se ha esforzado más para que parezcan legítimos mediante la creación de una red de cuentas.

“El atacante ha creado media docena de cuentas de GitHub y un puñado de cuentas de Twitter asociadas. Todas las cuentas pretenden ser parte de una compañía de seguridad inexistente llamada High Sierra Cyber ​​Security”, dijo VulnCheck en el informe.