Au moins une demi-douzaine de comptes GitHub de faux chercheurs associés à une société de cybersécurité frauduleuse ont été observés poussant des référentiels malveillants sur le service d’hébergement de code.
Les sept référentiels, qui sont toujours disponibles au moment de la rédaction, prétendent être un exploit de preuve de concept (PoC) pour les prétendues failles du jour zéro dans Discord, Google Chrome et Microsoft Exchange.
VulnCheck, qui a découvert l’activité, a dit« les personnes qui créent ces référentiels ont déployé des efforts considérables pour les rendre légitimes en créant un réseau de comptes et de profils Twitter, prétendant faire partie d’une société inexistante appelée High Sierra Cyber Security. »
La société de cybersécurité a déclaré qu’elle avait découvert les référentiels escrocs pour la première fois début mai lorsqu’ils ont été observés poussant des exploits PoC similaires pour les bogues du jour zéro dans Signal et WhatsApp. Les deux dépôts ont depuis été démontés.
En plus de partager certaines des prétendues découvertes sur Twitter dans le but de renforcer la légitimité, le réseau de comptes utilise même des portraits de véritables chercheurs en sécurité d’entreprises comme Rapid7, ce qui suggère que les acteurs de la menace ont déployé des efforts considérables pour élaborer la campagne.
Le PoC est un script Python conçu pour télécharger un binaire malveillant et l’exécuter sur le système d’exploitation de la victime, que ce soit les fenêtres ou Linux.
🔐 Maîtriser la sécurité des API : Comprendre votre véritable surface d’attaque
Découvrez les vulnérabilités inexploitées de votre écosystème d’API et prenez des mesures proactives pour une sécurité à toute épreuve. Rejoignez notre webinaire perspicace !
« L’attaquant a fait beaucoup d’efforts pour créer tous ces faux personnages, uniquement pour livrer des logiciels malveillants très évidents », a déclaré le chercheur de VulnCheck, Jacob Baines. « Il n’est pas clair s’ils ont réussi, mais étant donné qu’ils ont continué à poursuivre cette voie d’attaques, il semble qu’ils croient qu’ils sera avoir du succès. »
On ne sait pas actuellement s’il s’agit de l’œuvre d’un acteur amateur ou d’une menace persistante avancée (APT). Mais les chercheurs en sécurité sont déjà passés sous le radar des groupes d’États-nations nord-coréens, comme l’a révélé Google en janvier 2021.
Au contraire, les résultats montrent la nécessité de faire preuve de prudence lorsqu’il s’agit de télécharger du code à partir de référentiels open source. Il est également essentiel que les utilisateurs examinent le code avant son exécution pour s’assurer qu’il ne présente aucun risque de sécurité.