Uzmanlar, açıklardan yararlanma kavramlarını paylaşan her on GitHub deposundan birinin bir tür kötü amaçlı yazılım veya kötü amaçlı içerik barındırıyor olabileceğini ve bu da yazılım geliştiricileri ve siber güvenlik araştırmacılarını çok fazla risk altına soktuğunu buldu.
GitHub, diğer şeylerin yanı sıra, çeşitli güvenlik açıkları için kavram kanıtı (PoC) istismarlarını paylaşmak için kullanılır. Bu, araştırmacıların ve geliştiricilerin mevcut düzeltmeleri doğrulamalarına ve ürünlerinin ve uç noktalarının riskli kusurlardan korunmasına yardımcı olur.
Leiden İleri Bilgisayar Bilimleri Enstitüsü’ndeki araştırmacıların bu tür on binlerce depoyu inceleyen bir raporu, birçoğunun bunun yerine kötü amaçlı yazılım içeren sahte PoC’ler dağıttığını buldu.
Truva atları ve Kobalt Strike işaretleri
Deney sırasında araştırmacılar, 2017 ve 2021 yılları arasında keşfedilen bir kusur için PoC olduğunu iddia eden yaklaşık 47.300 depoyu analiz etti.
PoC yayıncı IP’lerini genel engelleme listelerine, VT ve AbuseIPDB’ye çapraz referans verdiler, sağlanan yürütülebilir dosyalar ve bunların karmaları üzerinde VirusTotal kontrolleri yürüttüler ve ikili ve IP kontrollerini çalıştırmadan önce karışık dosyaların kodunu çözdüler.
Buldukları şey, şu ya da bu şekilde kötü niyetli olan toplam 4.893 depoydu. Çıkarılan 150.734 benzersiz IP adresinden 2.864’ü engellenenler listelerinde, 1.522’si daha önce VirusTotal tarafından işaretlenmiş ve 1.069’u AbuseIPDB’nin veritabanında bulundu. 6.160 yürütülebilir dosyadaki ikili dosyaları analiz eden araştırmacılar, 1.398 depoda barındırılan 2.164 kötü amaçlı örnek buldu.
Sonuç olarak, araştırmacılar, gerçek bir PoC yerine kötü amaçlı yazılımları alma olasılığının yaklaşık %10,3 olduğu sonucuna vardı. Kurbanlara uzaktan erişim truva atlarından Kobalt Strike işaretçilerine kadar sayısız şey bulaşabilir.
Sonuçları gördükten sonra GitHub, kötü amaçlı içeriği platformundan kaldırmak için harekete geçti, ancak BleeBilgisayar en az 60 örnek bulundu, hala kaldırılmayı bekliyor.
Aracılığıyla: BleeBilgisayar (yeni sekmede açılır)