Ένα ψεύτικο PoC για μια ευπάθεια στον πυρήνα του Linux στο GitHub εξέθεσε τους ερευνητές σε κακόβουλο λογισμικό.
Σε μια ένδειξη ότι οι ερευνητές κυβερνοασφάλειας συνεχίζουν να βρίσκονται κάτω από το ραντάρ των κακόβουλων φορέων, ανακαλύφθηκε ένα proof-of-concept (PoC) στο GitHub, το οποίο περιέχει ένα backdoor με μια “πονηρή” μέθοδο persistence.
Το repository μεταμφιέστηκε ως ένα proof-of-concept (PoC) για το CVE-2023-35829, ένα πρόσφατα αποκαλυφθέν ελάττωμα υψηλής σοβαρότητας στον πυρήνα του Linux. Έκτοτε είχε κατέβει, αλλά όχι προτού γίνει forked (οι προγραμματιστές παίρνουν ένα αντίγραφο του πηγαίου κώδικα από ένα πακέτο λογισμικού και ξεκινούν την ανεξάρτητη ανάπτυξη του) 25 φορές. Ένα άλλο PoC που κοινοποιήθηκε από τον ίδιο λογαριασμό, ChriSanders22, για το CVE-2023-20871, ένα σφάλμα κλιμάκωσης προνομίων που επηρεάζει το VMware Fusion, κατέβηκε δύο φορές.
Η Uptypcs εντόπισε και ένα δεύτερο προφίλ στο GitHub που περιέχει ένα ψεύτικο PoC για το CVE-2023-35829. Είναι ακόμα διαθέσιμο κατά τη σύνταξη του παρόντος κειμένου και έχει γίνει forked 19 φορές. Μια προσεκτικότερη εξέταση του ιστορικού των δεσμεύσεων δείχνει ότι οι αλλαγές προωθήθηκαν από τον ChriSanders22, γεγονός που υποδηλώνει ότι έγινε forked από το αρχικό αποθετήριο.
Το backdoor διαθέτει ένα ευρύ φάσμα δυνατοτήτων για την κλοπή ευαίσθητων δεδομένων από παραβιασμένους hosts καθώς και για να επιτρέψει σε έναν απειλητικό παράγοντα να αποκτήσει απομακρυσμένη πρόσβαση προσθέτοντας το κλειδί SSH του στο αρχείο .ssh/authorized_keys.
Η ανάπτυξη ήρθε σχεδόν ένα μήνα αφότου το VulnCheck ανακάλυψε πολλαπλούς ψεύτικους λογαριασμούς GitHub που μεταμφιέστηκαν σε ερευνητές ασφαλείας και σκόπευαν να διανείμουν κακόβουλο λογισμικό με το πρόσχημα των PoC exploits για δημοφιλή λογισμικά όπως το Discord, το Google Chrome, ο Microsoft Exchange Server, το Signal και το WhatsApp.
Συνιστάται στους χρήστες που έχουν κατεβάσει και εκτελέσει τα PoC να κάνουν unauthorize τα SSH keys, να διαγράψουν το αρχείο kworker, να διαγράψουν το kworker path από το αρχείο bashrc και να ελέγξουν το /tmp/.iCE-unix.pid για πιθανές απειλές.
Πηγή πληροφοριών: thehackernews.com
