(https://i.imgur.com/Qw5FJVF.png)
En una señal de que los investigadores de ciberseguridad continúan bajo el radar de actores maliciosos, se ha descubierto una prueba de concepto (PoC) en GitHub, ocultando una puerta trasera con un método de persistencia "astuto".
"En este caso, el PoC es un lobo con piel de oveja, que alberga intenciones maliciosas bajo la apariencia de una herramienta de aprendizaje inofensiva", dijeron los investigadores de Uptycs Nischay Hegde y Siddartha Malladi. "Operando como un descargador, vuelca y ejecuta silenciosamente un script bash de Linux, mientras disfraza sus operaciones como un proceso a nivel de kernel".
El repositorio se hace pasar por una prueba de concepto para CVE-2023-35829, una falla de alta gravedad recientemente revelada en el kernel de Linux. Desde entonces ha sido retirado, pero no antes de que se bifurcara 25 veces. Otra prueba de concepto compartida por la misma cuenta, ChriSanders22, para CVE-2023-20871, un error de escalada de privilegios que afecta a VMware Fusion, se bifurcó dos veces.
Uptypcs también identificó un segundo perfil de GitHub que contenía una PoC falsa para CVE-2023-35829. Todavía está disponible al momento de escribir y se ha bifurcado 19 veces. Un examen más detallado del historial de confirmación muestra que los cambios fueron impulsados por ChriSanders22, lo que sugiere que se bifurcó del repositorio original.
(https://i.imgur.com/4OsRSX2.png)
La puerta trasera viene con una amplia gama de capacidades para robar datos confidenciales de hosts comprometidos, así como permitir que un actor de amenazas obtenga acceso remoto agregando su clave SSH al archivo .ssh / authorized_keys.
"El PoC pretende que ejecutemos un comando make que es una herramienta de automatización utilizada para compilar y construir ejecutables a partir de archivos de código fuente", explicaron los investigadores. "Pero dentro del Makefile reside un fragmento de código que construye y ejecuta el malware. El malware nombra y ejecuta un archivo llamado kworker, que agrega la ruta $HOME / .local / kworker en $HOME / .bashrc, estableciendo así su persistencia.
El desarrollo se produce casi un mes después de que VulnCheck descubriera una serie de cuentas falsas de GitHub que se hacían pasar por investigadores de seguridad para distribuir malware bajo la apariencia de exploits de PoC para software popular como Discord, Google Chrome, Microsoft Exchange Server, Signal y WhatsApp.
Se recomienda a los usuarios que han descargado y ejecutado las PoC que eliminen las claves SSH no autorizadas, eliminen el archivo kworker, borren la ruta kworker del archivo bashrc y verifiquen /tmp/.iCE-unix.pid para detectar posibles amenazas.
"Si bien puede ser difícil distinguir las PoC legítimas de las engañosas, la adopción de prácticas seguras como las pruebas en entornos aislados (por ejemplo, máquinas virtuales) puede proporcionar una capa de protección", dijeron los investigadores.
Fuente: https://thehackernews.com