FALSOS EXPLOITS CON MALWARE EN GITHUB

Investigadores del Leiden Institute of Advanced Computer Science encontraron miles de repositorios en GitHub que ofrecen exploits de prueba de concepto (PoC) falsos para varias vulnerabilidades, algunas de las cuales incluyen malware.

GitHub es una de las plataformas de alojamiento de código más grandes, y los investigadores la usan para publicar vulnerabilidades de PoC para ayudar a la comunidad de seguridad a verificar soluciones para vulnerabilidades o determinar el impacto y el alcance de una falla.

Según el documento técnico de los investigadores del Leiden Institute of Advanced Computer Science, la posibilidad de infectarse con malware en lugar de obtener un PoC podría llegar al 10,3 %, excluyendo las falsificaciones comprobadas y el software de broma.

Los investigadores analizaron un poco más de 47 300 repositorios que anuncian un exploit para una vulnerabilidad revelada entre 2017 y 2021, analizaron direcciones IP, hexadecimal y Base64.

De las 150 734 direcciones IP únicas extraídas, 2864 entradas de la lista de bloqueo coincidieron, 1522 se detectaron como maliciosas en los análisis antivirus en Virus Total y 1069 de ellas estaban presentes en la base de datos AbuseIPDB.

El análisis binario examinó un conjunto de 6160 ejecutables y reveló un total de 2164 muestras maliciosas alojadas en 1398 repositorios.

En total, 4.893 repositorios de los 47.313 probados se consideraron maliciosos, y la mayoría de ellos se referían a vulnerabilidades de 2020.

Confiar ciegamente en un repositorio en GitHub de una fuente no verificada sería una mala idea ya que el contenido no está moderado, por lo que corresponde a los usuarios revisarlo antes de usarlo.

Se recomienda a los probadores de software que analicen cuidadosamente los PoC que descargan y ejecuten tantas verificaciones como sea posible antes de ejecutarlos.

Soufian cree que todos los evaluadores deben seguir estos tres pasos:

• Lea atentamente el código que está a punto de ejecutar en su red o la de su cliente.
  Si el código está demasiado ofuscado y necesita demasiado tiempo para analizarlo manualmente, guárdelo en un entorno (por ejemplo, una máquina virtual aislada) y verifique su red en busca de tráfico sospechoso.
• Utilice herramientas de inteligencia de código abierto como VirusTotal para analizar archivos binarios.
• Los investigadores informaron todos los repositorios maliciosos que descubrieron a GitHub, pero pasará algún tiempo hasta que todos sean revisados ​​y eliminados, por lo que muchos aún permanecen disponibles para el público.

Como explicó Soufian, su estudio tiene como objetivo no solo servir como una acción de limpieza única en GitHub, sino actuar como un disparador para desarrollar una solución automatizada que podría usarse para marcar instrucciones maliciosas en el código cargado.

Esta es la primera versión de la investigación del equipo y están trabajando para mejorar su detector. Actualmente, la herramienta de detección pierde el código con una ofuscación más fuerte.

Fuente: BP