Эксперты со всего мира используют GitHub для публикации PoC-эксплоитов, чтобы другие участники сообщества смогли протестировать патчи и определить масштаб проблемы. Теперь исследователи обнаружили на площадке почти пять тысяч фальшивых эксплоитов, содержавших вредоносный скрипт.
Исследователи Лейденского института передовых компьютерных наук проанализировали более 40 тысяч репозиториев, предлагающих эксплоиты для различных уязвимостей. Для этого эксперты преобразовали обфусцированные файлы (или программы, в которых исходный код был превращен во что-то непонятное, но с сохранением изначальной логики его работы) и провели проверку:
- сравнили IP-адреса авторов PoC с общедоступными черными списками, Virus Total и AbuseIPDB;
- «прогнали» предоставленные файлы и их хэши через VirusTotal.
В результате из 150 734 уникальных IP-адресов 2864 совпали с черными списками. Еще 2164 из 6160 исполняемых файлов оказались вредоносными. В общей сложности «опасными» были признаны 4893 из 47 313 протестированных репозитория.
Среди вредоносных скриптов исследователи обнаружили, например, обфусцированный base64 Python-скрипт, который извлекал VBScript из Pastebin. Этот скрипт представлял собой Houdini RAT, старый JavaScript-троян, который поддерживает удаленное выполнение команд через командную строку Windows.
В своем отчете эксперты еще раз предостерегли пользователей: на GitHub контент не модерируется, поэтому слепо доверять репозиториям не стоит. Исследователи уже уведомили хостинг обо всех вредоносных файлах, однако на их проверку и удаление потребуется время. Поэтому пока что «опасные» скрипты останутся в открытом доступе.