Más de uno de cada diez repositorios de GitHub que comparten pruebas de concepto de exploits podría contener algún tipo de malware o contenido malicioso, lo que pone a los desarrolladores de software y a los investigadores de seguridad cibernética en gran riesgo, según han descubierto los expertos.
GitHub se utiliza, entre otras cosas, para compartir exploits de prueba de concepto (PoC) para diversas vulnerabilidades. Eso ayuda a los investigadores y desarrolladores a verificar las correcciones existentes y asegurarse de que sus productos y terminales estén a salvo de fallas peligrosas.
Un informe de investigadores del Instituto de Ciencias Informáticas Avanzadas de Leiden que analizó decenas de miles de estos repositorios descubrió que muchos estaban distribuyendo PoC falsos que, en cambio, contenían malware.
Troyanos y balizas Cobalt Strike
Durante el experimento, los investigadores analizaron aproximadamente 47 300 repositorios que afirmaban ser un PoC de una falla descubierta entre 2017 y 2021.
Hicieron referencias cruzadas de IP de editores de PoC a listas de bloqueo públicas, VT y AbuseIPDB, ejecutaron verificaciones de VirusTotal en los ejecutables proporcionados y sus hash, y decodificaron archivos ofuscados antes de ejecutar verificaciones binarias y de IP.
Lo que encontraron fue un total de 4.893 repositorios maliciosos de una forma u otra. De las 150 734 direcciones IP únicas que se extrajeron, 2864 se encontraron en listas de bloqueo, 1522 fueron previamente marcadas por VirusTotal y 1069 se encontraron en la base de datos de AbuseIPDB. Al analizar los binarios en 6160 ejecutables, los investigadores encontraron 2164 muestras maliciosas, alojadas en 1398 repositorios.
En total, la posibilidad de detectar malware en lugar de un PoC real es de alrededor del 10,3 %, concluyeron los investigadores. Las víctimas pueden infectarse con una miríada de cosas, desde troyanos de acceso remoto hasta balizas Cobalt Strike.
Después de ver los resultados, GitHub se movió para eliminar el contenido malicioso de su plataforma, pero BleepingEquipo encontrado al menos 60 ejemplos que aún están pendientes de eliminación.
Vía: BleepingComputer (se abre en una pestaña nueva)