Signe que les chercheurs en cybersécurité continuent d’être sous le radar des acteurs malveillants, une preuve de concept (PoC) a été découverte sur GitHub, dissimulant une porte dérobée avec une méthode de persistance « rusée ».
« Dans ce cas, le PoC est un loup déguisé en mouton, nourrissant une intention malveillante sous le couvert d’un outil d’apprentissage inoffensif », ont déclaré les chercheurs d’Uptycs Nischay Hegde et Siddartha Malladi. a dit. « Fonctionnant comme un téléchargeur, il vide et exécute silencieusement un script bash Linux, tout en déguisant ses opérations en processus au niveau du noyau. »
Le dépôt se fait passer pour un PoC pour CVE-2023-35829, une faille de haute gravité récemment révélée dans le noyau Linux. Il a depuis été démonté, mais pas avant d’avoir été bifurqué 25 fois. Un autre PoC partagé par le même compte, ChrisSanders22, pour CVE-2023-20871un bogue d’escalade de privilèges affectant VMware Fusion, a été forké deux fois.
Uptypcs a également identifié un deuxième profil GitHub contenant un faux PoC pour CVE-2023-35829. Il est toujours disponible au moment de la rédaction et a été bifurqué 19 fois. Un examen plus approfondi de la historique de validation montre que les modifications ont été poussées par ChriSanders22, ce qui suggère qu’il a été dérivé du référentiel d’origine.
La porte dérobée est dotée d’un large éventail de fonctionnalités pour voler des données sensibles à des hôtes compromis et permettre à un acteur malveillant d’obtenir un accès à distance en ajoutant sa clé SSH au fichier .ssh/authorized_keys.
« Le PoC nous propose d’exécuter une commande make qui est un outil d’automatisation utilisé pour compiler et créer des exécutables à partir de fichiers de code source », ont expliqué les chercheurs. « Mais dans le Makefile réside un extrait de code qui construit et exécute le malware. Le malware nomme et exécute un fichier nommé kworkerqui ajoute le chemin $HOME/.local/kworker dans $HOME/.bashrc, établissant ainsi sa persistance. »
Bouclier contre les menaces internes : maîtriser la gestion de la posture de sécurité SaaS
Inquiet des menaces internes ? Nous avons ce qu’il vous faut! Rejoignez ce webinaire pour explorer les stratégies pratiques et les secrets de la sécurité proactive avec la gestion de la posture de sécurité SaaS.
Le développement intervient près d’un mois après que VulnCheck a découvert un certain nombre de faux comptes GitHub se faisant passer pour des chercheurs en sécurité pour distribuer des logiciels malveillants sous le couvert d’exploits PoC pour des logiciels populaires tels que Discord, Google Chrome, Microsoft Exchange Server, Signal et WhatsApp.
Il est recommandé aux utilisateurs qui ont téléchargé et exécuté les PoC d’utiliser des clés SSH non autorisées, de supprimer le fichier kworker, d’effacer le chemin kworker du fichier bashrc et de vérifier /tmp/.iCE-unix.pid pour les menaces potentielles.
« Bien qu’il puisse être difficile de distinguer les PoC légitimes des trompeurs, l’adoption de pratiques sûres telles que les tests dans des environnements isolés (par exemple, des machines virtuelles) peut fournir une couche de protection », ont déclaré les chercheurs.