Posté le octobre 24, 2022 à 9:41
UN LOGICIEL MALVEILLANT ENTRAÎNE DES MILLIERS DE DÉPÔTS GITHUB CONTENANT DE FAUX EXPLOITS DE PREUVE DE CONCEPT
Des chercheurs de l’Institut d’informatique avancée de Leiden ont découvert des milliers de dépôts GitHub qui fournissent de faux exploits de preuve de concept (PoC). Ces exploits sont attribués à plusieurs vulnérabilités, telles que des logiciels malveillants.
Des milliers de dépôts GitHub délivrent de faux exploits PoC
GitHub est l’une des principales plateformes d’hébergement de code au monde. Les chercheurs utilisent cette plateforme pour publier des exploits PoC qui aident des chercheurs en cybersécurité à vérifier les correctifs pour les vulnérabilités ou à évaluer l’étendue et la nature de la vulnérabilité.
Un rapport technique des chercheurs de l’institut a également souligné la possibilité que le logiciel malveillant infecte les appareils des victimes. La possibilité d’être infecté par le logiciel malveillant par rapport à la réception d’un PoC était de 10,3 %, sans tenir compte des prankwares et des faux qui ont été vérifiés.
Dans l’analyse, les chercheurs ont évalué plus de 47 300 dépôts commercialisant un exploit pour un bug détecté entre 2017 et 2021. Les chercheurs ont analysé ces référentiels en utilisant trois mécanismes différents.
L’un de ces mécanismes est l’analyse de l’adresse IP. Les chercheurs ont comparé l’IP de l’éditeur, les listes de blocage publiques, VT et AbuseIPDB. L’autre mécanisme était une analyse binaire. Dans le cadre de cette analyse, les chercheurs ont effectué des contrôles VirusTotal sur les exécutables et leurs hachages.
Enfin, les chercheurs ont déployé une analyse hexadécimale et base64. Dans le cadre de ce mécanisme, les chercheurs ont décrypté les fichiers cachés avant de procéder aux vérifications binaires et IP.
Les chercheurs ont extrait 150 734 adresses IP. Sur ce nombre, 2 864 correspondaient aux entrées de la liste de blocage, tandis que 1 522 ont été classées comme malveillantes par les analyses antivirus effectuées avec Virus Total. 1 069 des adresses IP extraites ont également été trouvées dans la base de données AbuseIPDB.
L’analyse binaire effectuée a également analysé 6 160 exécutables, ce qui a montré que 2 164 échantillons malveillants étaient hébergés dans les 1 398 dépôts. 4 893 dépôts sur les 47 313 dépôts GitHub testés se sont révélés malveillants. La majorité de ces référentiels impliquaient des vulnérabilités remontant à 2020.
Le rapport indique par ailleurs qu’un petit nombre de dépôts contenant de faux PoCs ont déployé le logiciel malveillant. Néanmoins, une soixantaine d’autres cas de faux dépôts sont toujours actifs, et GitHub est en train de les supprimer.
Un examen approfondi de certains cas a révélé des scripts malveillants et d’autres types de logiciels malveillants. Les menaces comprenaient des chevaux de Troie d’accès à distance et Cobalt Strike. L’un des cas intéressants mis en avant par les chercheurs est un PoC pour la vulnérabilité CVE-2019-0708. Ce bug est connu sous le nom de « BlueKeep » et présente un script Python obfusqué en base64 qui obtient un VBScript de Pastebin.
Le script en question est connu sous le nom de Houdini RAT. Il s’agit d’un ancien cheval de Troie conçu à partir de JavaScript. Il utilise le CMD de Windows pour exécuter une commande à distance. Dans l’un des cas, les chercheurs ont détecté un faux PoC qui a volé des informations sur le système, l’adresse IP et l’agent utilisateur.
Ce PoC a été initialement créé comme une expérience de sécurité menée par un autre chercheur. Lorsque les chercheurs ont détecté que le PoC contenait l’outil automatisé, cela a prouvé qu’ils utilisaient la bonne approche.
Comment les utilisateurs de GitHub peuvent rester en sécurité
Le contenu promu sur GitHub n’est pas modéré. Il n’est donc pas conseillé aux utilisateurs de faire aveuglément confiance à un dépôt sur GitHub qui provient d’une source non vérifiée. Il incombe donc à l’utilisateur d’examiner le contenu avant de l’utiliser.
Il a été conseillé aux personnes qui testent des logiciels d’examiner attentivement les PoC qu’elles téléchargent et de procéder à de nombreuses vérifications avant d’exécuter ces tests. L’un des chercheurs en sécurité ayant participé à l’étude, El Yadmani Soufian, a déclaré que tous les testeurs devaient suivre trois étapes cruciales.
L’une de ces étapes consiste à examiner soigneusement le code qu’ils prévoient d’exécuter sur leurs réseaux ou ceux de leurs clients. Si ce code est caché et nécessite beaucoup de temps pour être analysé manuellement, on peut l’utiliser dans un environnement réglementé tout en vérifiant le réseau pour toute activité suspecte.
Troisièmement, il est aussi conseillé aux utilisateurs de déployer des outils de renseignement open-source tels que VirusTotal qui seront utilisés pour analyser les binaires. Les chercheurs ont signalé les dépôts GitHub malveillants. Cependant, il faudra du temps avant que tous ces dépôts soient examinés et supprimés de la plateforme. Beaucoup de ces dépôts sont encore accessibles au public.
M. Soufian a déclaré que l’objectif de l’étude ne visait pas seulement à être une initiative unique sur GitHub, mais qu’elle peut aussi servir de déclencheur pour soutenir le développement d’une solution automatisée qui pourrait être utilisée pour détecter les instructions malveillantes dans le code téléchargé.
