数千GitHub 仓库正在传播含有恶意软件的虚假PoC 利用

于 2022-10-24 17:47:30 发布
阅读量503 收藏
点赞数
文章标签: 安全 java python 人工智能 linux
原文链接:https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247514298&idx=1&sn=3d322fa315badc08e34fe3379e76ae57&chksm=ea9489d0dde300c6fded68537221742713d3743c01794692f8d10a0e21ebc41bf42bee26c42d&scene=126&&sessionid=0
版权

089f7c61383ca5fead55ef1926147c98.gif 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

5d9fe4b44234f6343140da4dab5e7eb9.png

荷兰莱顿大学高级计算机科学学院的研究人员发现,GitHub 上的数千个仓库为多个漏洞提供虚假的PoC 利用,其中某些PoC 中包含恶意软件。

GitHub 是最大的代码托管平台之一,研究人员通过该平台发布PoC 利用,帮助安全社区验证漏洞修复方案或者判断漏洞的影响和范围。

研究人员发布文章指出,受恶意软件感染的可能性高达10.3%,不包括已证实的虚假利用或恶作剧软件。

01

数据收集和分析

研究人员使用如下三种机制,分析了2017年至2021年间,逾4.73万个声称存在漏洞利用的仓库:

  • IP 地址分析:对比PoC 发布人员的IP和公开的拦截清单和VT以及AbuseIPDB.

  • 二进制分析:在所提供的可执行文件及其哈希上运行VirusTotal 检查

  • 十六进制和Base64分析:在执行二进制和IP检查前解码混淆的文件

在所提取的150734个唯一IP中,其中2864个匹配拦截清单中的条目,1522个在Virus Total 上被检测为恶意性质,1069个出现在AbuseIPDB数据库中。

该二进制分析审计了共6160个可执行文件,并披露了托管在1398个仓库中的2164个恶意样本。在47313个所测仓库中,4893个是恶意性质,其中多数含有2020年以来的漏洞。

报告中还说明了传播恶意软件的具有虚假 PoC 的仓库。不过,研究人员表示,至少还有60个仓库仍然活跃且GitHub 正在清理。

02

PoC 中的恶意软件

研究人员仔细查看其中一些案例后发现了多种不同的恶意软件和有害脚本,从远程访问木马到 Cobalt Strike 等不一而足。

其中一个有意思的案例是CVE-2019-0708的PoC。该漏洞被称为“BlueKeep”,其PoC 中包含经过base64混淆的Python 脚本,它从Pastebin中提取了VBScript。改脚本即Houdini RAT,是基于古老JavaScript 的木马,支持通过Windows CMD的远程命令执行。在另一个案例中,安全研究员发现一个虚假的PoC 实际是信息窃取工具,收集系统信息、IP地址和用户代理。它是另外一名研究员此前创建的一项安全实验,因此通过自动化工具找到它可证明这种方式奏效。

其中一名研究员 EI Yadmani Soufian 也是Darktrace 公司的一名安全研究员,他还分享了报告以外的其它样例,例如PowerShell PoC 中包含一个通过base64编码的被Virus Total 标记为恶意性质的二进制。一个Python PoC 中包含一个一行代码,解码了被Virus Total 标记为恶意的base64编码的payload。虚假的BlueKeep 利用中包含被多数反病毒引擎标记为恶意性质的可执行文件,且被识别为 Cobalt Strike。一个在虚假PoC中隐藏的脚本中包含不活跃的恶意组件,可造成破坏。

03

如何确保安全

盲目地信任未认证来源的GitHub仓库将带来糟糕后果,因为内容并未经过审计,因此用户必须在使用前进行审计。

建议软件测试人员仔细审查所下载的PoC 并在执行前执行尽可能多的检查。

Soufian 认为所有测试人员均应遵循如下三个步骤:

1、仔细阅读将在自己网络或客户网络上运行的代码。

2、如果代码混淆强度大且需要花费太多时间进行手动分析,则使其位于沙箱环境中(如隔离的虚拟机)并检查网络中是否存在可疑流量。

3、使用开源情报工具如VirusTotal 分析二进制。

研究人员已将所发现的所有恶意仓库告知GitHub,不过后者需要一些时间才能审计并删除所有恶意仓库,因此很多恶意仓库仍然是公开可见的。正如Soufian 所解释的那样,他们的研究目标不仅是一次性清理恶意软件,而且也是为了开发一种自动化的解决方案,能够用于标记所上传代码中的恶意指令。

代码卫士试用地址:https://codesafe.qianxin.com

开源卫士试用地址:https://oss.qianxin.com

推荐阅读

数千个恶意仓库克隆传播恶意软件,GitHub正在调查

坐火车太无聊,我溜入微软 VS Code官方GitHub仓库,但没敢发动供应链攻击

Repo Jacking:依赖关系仓库劫持漏洞,影响谷歌GitHub等7万多个开源项目的供应链

速查是否中招!攻击者正在擦除 GitHub 和 GitLab 仓库还有 Bitbucket并实施勒索!

原文链接

https://www.bleepingcomputer.com/news/security/thousands-of-github-repositories-deliver-fake-poc-exploits-with-malware/

题图:Pixabay License‍

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

0991ba11d9063cadbe131d0b3412d0d8.jpeg

29b4d91726244c28d13cbe85f3ae95d3.jpeg

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   baf19dd073fed06e3c9136c11ad68d75.gif 觉得不错,就点个 “在看” 或 "赞” 吧~

奇安信代码卫士
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PoC-in-GitHub::satellite_antenna:PoCGitHub自动收集。 :warning:小心恶意软件
02-05
PoC-in-GitHub::satellite_antenna:PoCGitHub自动收集。 :warning:小心恶意软件
GitHub 项目遭到“有毒”言论攻击,核心开源贡献者被迫出走!
开源吞噬世界。
06-30 6467
GitHub上的有毒言论伤了不少人的心
GitHub 中超过3.5万开源代码被投毒
OSCS开源安全社区
08-03 1148
8月3日13时,名为 Stephen Lacy 的工程师在 Twitter 中表示其发现 GitHub 中大量仓库被加入了恶意代码,感染文件超过3.5万,涉及 Go 代码、NPM 安装脚本、容器镜像配置等内容。被感染的仓库大多数处在长期不维护的状态,star 和 fork 数量基本为0恶意代码在最早在2019年已经提交进部分仓库,不少仓库是在最近10天左右被感染信息收集和控制指令的服务地址位于俄罗斯15时许,GitHub 开始对受影响仓库进行清理,当前受影响仓库已经全部无法访问。...
你的代码放在 GitHub 上,真的安全吗?
qq_39620532的博客
03-22 3398
受俄乌冲突的影响,GitHub 目前正在考虑限制俄罗斯开发人员访问开源代码存储库的可能性。无独有偶,早在 2019 年,GitHub 就曾经因为美国出台贸易制裁国家名单,对名单上的国家/地区的用户进行过 “封杀”。 2019 年 7 月,微软旗下的 GitHub“限制” 住在乌克兰克里米亚地区的一名开发人员的帐户。这名开发人员利用 GitHub 服务来托管其网站和游戏软件GitHub 告诉住在克里米亚的 21 岁俄罗斯公民 Anatoliy Kashkin,“由于美国贸易管制”,GitHub“限
程序员总被坑?这是GitHub上的一篇防骗指南
CSDN资讯
04-05 2257
点击上方“CSDN”,选择“置顶公众号”关键时刻,第一时间送达!作为一名技术人,我们擅长处理系统漏洞,对于媒体信息来源的真伪我们毫无辨别能力。本文源自于GitHub上创建的一个repo,其中收集了许多如Hacker News、Reddit、tech blog等新闻频道上有关软件开发者遭受虚假信息之害的故事。以下为正文:2015年我结识了一位很聪明的企业家,从谈话中得知他刚刚从一家知名风险投资公司筹
恶意软件数据库:Github上为数不多的恶意软件存储库之一
02-17
该存储库是GitHub上为数不多的恶意软件集合之一。 这里几乎每个样本都是恶意的,因此我强烈建议您不要在真实的硬件上打开这些文件,也不要滥用该恶意软件来恶作剧您的朋友。 这些样本播放可能会导致可能影响任何东西...
redis数据库的GitHub poc流量包
07-16
redis的未授权访问流量包配合复现文章使用
利用github搭建个人maven仓库的方法步骤
08-26
主要介绍了利用github搭建个人maven仓库的方法步骤,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
GitHub客户端软件
12-02
电脑可安装的.exe文件,安装成功后无需打开网页即可访问GitHub
Github开源软件源代码安全大数据分析,源代码安全不容忽视
qq_35063663的博客
03-15 2284
随着软件开源文化的盛行,以github网站为主的开源项目在全球范围内广泛应用。根据权威组织数据分析给出,99%的企业和个人在其IT系统中采用开源软件。开源软件为系统开发提升效率的同时,也给软件埋下了安全隐患,一旦安全漏洞爆发,影响范围将是一个行业、一个国家甚至全世界。
Github标星1.6W+,程序员不得不知的“潜规则”又火了,早知道就不会秃头了
全栈修炼
11-19 1431
大家好,我是你们的 前端章鱼猫,一个不喜欢前端、又不喜欢吃鱼的超级猫 ~当程序员谈论开发设计时,常常会聊到非常多的定律,而 GitHub 上的一个名为「hacker-laws」的仓库收录...
GitHub上10个最受欢迎的安全项目
weixin_33938733的博客
07-03 840
开源项目最终还是迎来了属于它的胜利,虽然这胜利姗姗来迟,但终究还是实现了。在信息安全领域,尽管许多公司封锁了它们的专有软件代码,但仍有许多开源项目可供安全专家使用。 其中,寻找开源安全相关项目的首选就是GitHub。你可以利用GitHub的搜索功能发现有用的工具,但是,GitHub有一个地方可以帮你获寻最热门的安全项目,就是所谓的GitHub Showc...
程序员大本营GitHub遭黑客劫持,是时候认真聊聊开源代码安全
脑极体
05-06 1789
著名的“交友网站”GitHub是程序员的“大本营”,很多人都将源代码托管在上面,并不断利用社区开源资源开发新的算法、软件、应用。这样一个极客云集的平台,居然被黑客给一窝端...
Git和Github的基本使用
七百
08-07 1565
Git基本知识 首先Git三种概念要清楚: 已提交(committed) 已提交表示数据已经安全的保存在本地数据库中。 已修改(modified) 已修改表示修改了文件,但还没保存到数据库中。 已暂存(staged) 已暂存表示对一个已修改文件的当前版本做了标记,使之包含在下次提交的快照中。 其次是Git项目的三个工作区域的概念:Git仓库、工作目录以及暂存区域 ...
为什么程序员们愿意在 GitHub 上开源自己的成果给别人免费使用和学习?
phodal
03-21 9548
明明很多项目闭源的话可以赚很多很多钱。为何大家还是无私奉献自己的劳动成果呢?反哺社区:分享知识如果我们从网上可以获取到知识,那么我们也应该将一些知识反哺到社区中。如,三年前,我在使用浏览器玩 VR(Oculus) + Node.js + Three.js 的时候,躺了一些坑。一来,国内没有合适的中文资源;二来,总觉得应该留下点什么。所以我就建了一个项目来做这样的事情:Node.js Oculus
GitHub 上的十一款热门开源安全工具
钱国正的专栏
09-14 3736
作为开源开发领域的基石,“所有漏洞皆属浅表”已经成为一条著名的原则甚至是信条。作为广为人知的Linus定律,当讨论开源模式在安全方面的优势时,开放代码能够提高项目漏洞检测效率的理论也被IT专业人士们所普遍接受。 恶意软件分析、渗透测试、计算机取证——GitHub托管着一系列引人注目的安全工具、足以应对各类规模下计算环境的实际需求。 GitHub上的十一款热门开源安全工具
GitHub 将为使用有漏洞开源库的开发者提供警告信息
非著名程序员
11-21 2335
【回复“1024”,送你一个特别推送】 众所周知,现在开发软件已经变得不难,因为现在软件项目通常使用大量的依赖库。开发者虽然非常容易开发项目,简单而又方便了,但是一旦上游库有 Bug 将会影响到下游软件。 现在最大的开源软件开发平台 GitHub 宣布了安全警告服务,将搜索依赖寻找已知漏洞然后发送给开发者,以便帮助开发者尽可能快的打上补丁修复漏洞。GitHub 将会识别所有使用受影响依赖的
21条最佳实践,全面保障 GitHub 使用安全
m0_62051288的博客
08-04 349
GitHub 是开发人员工作流程中不可或缺的一部分。无论你去哪个企业或开发团队,GitHub 都以某种形式存在。它被超过8300万开发人员,400万个组织和托管超过2亿个存储库使用。GitHub 是世界上最大的源代码托管服务平台。GitHub 的使用便利与强大支持巩固了其在市场中的主导地位。GitHub 用户群体包罗万象,从业余小白到专业人士,从个人用户到大型企业组织,都在使用 GitHub。使用 GitHub 就无需考虑安全吗? GitHub 提供了许多工具和存储库设置防止数据泄露。但产生安全问题的根本原
github利用镜像克隆
最新发布
03-23
当我们在国内使用GitHub时,由于网络原因,可能会遇到下载速度慢或者无法连接的问题。为了解决这个问题,可以使用GitHub的镜像站点来进行克隆操作。 GitHub的镜像站点是指在国内搭建的一个与GitHub同步的服务器,它可以提供更快的下载速度和更稳定的连接。下面是使用镜像站点克隆GitHub仓库的步骤: 1. 打开GitHub镜像站点,比如常用的gitee.com或者coding.net。 2. 在镜像站点上注册一个账号,并登录。 3. 在镜像站点上搜索你要克隆的GitHub仓库。 4. 找到目标仓库后,点击克隆按钮,选择克隆方式(HTTPS或者SSH)。 5. 复制克隆链接。 6. 打开命令行终端,进入你想要存放仓库的目录。 7. 输入以下命令进行克隆: ``` git clone 克隆链接 ``` 其中,克隆链接就是你在步骤5中复制的链接。 8. 等待克隆完成,即可在本地得到一个与GitHub仓库同步的镜像仓库。 使用镜像站点克隆GitHub仓库可以提高下载速度和连接稳定性,方便我们在国内使用GitHub。同时,镜像站点也会定期与GitHub同步,保证仓库的最新性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值