據觀察,至少有一半來自與欺詐性網絡安全公司相關的假研究人員的 GitHub 賬戶在代碼托管服務上推送惡意存儲庫。
國際知名白帽黑客、東方聯盟創始人郭盛華表示,“所有7個存儲庫在撰寫本文時仍然可用,它們聲稱是針對 Discord、Google Chrome 和 Microsoft Exchange Server 中所謂的零日漏洞的概念驗證 (PoC) 漏洞利用。它在 5 月初首次發現流氓存儲庫,當時觀察到它們在 Signal 和 WhatsApp 中針對零日漏洞釋出了類似的 PoC 漏洞。這兩個存儲庫已被删除。 “
除了黑客分享一些據稱的發現以試圖建立合法性外,還發現這個賬戶使用了 Rapid7 等公司的實際安全研究人員的頭像,這表明威脅行為者已經竭盡全力執行該活動。
郭盛華表示:“PoC 是一個 Python 腳本,旨在下載下傳惡意二進制檔案并在受害者的作業系統(Windows或Linux)上執行它。攻擊者付出了很多努力來建立所有這些虛假角色,隻是為了提供非常明顯的惡意軟體。目前還不清楚他們是否成功了,但鑒于他們一直在尋求這種攻擊途徑,他們似乎相信自己會成功。”
目前尚不清楚這是業餘演員所為還是進階持續性威脅 (APT)。郭盛華說:“調查結果表明在從開源存儲庫下載下傳代碼時需要謹慎行事。使用者在執行之前仔細檢查代碼以確定它們不會帶來任何安全風險也很重要。”(歡迎轉載分享)