Selon les experts, plus d’un référentiel GitHub sur dix partageant des preuves de concept d’exploit pourrait contenir une forme de logiciel malveillant ou de contenu malveillant, ce qui expose les développeurs de logiciels et les chercheurs en cybersécurité à de nombreux risques.
GitHub est utilisé, entre autres, pour partager des exploits de preuve de concept (PoC) pour diverses vulnérabilités. Cela aide les chercheurs et les développeurs à vérifier les correctifs existants et à s’assurer que leurs produits et terminaux sont à l’abri des failles à risque.
Un rapport de chercheurs du Leiden Institute of Advanced Computer Science analysant des dizaines de milliers de ces référentiels a révélé que beaucoup distribuaient de faux PoC qui contenaient à la place des logiciels malveillants.
Chevaux de Troie et balises Cobalt Strike
Au cours de l’expérience, les chercheurs ont analysé environ 47 300 référentiels prétendant être un PoC pour une faille découverte entre 2017 et 2021.
Ils ont croisé les adresses IP des éditeurs PoC avec les listes de blocage publiques, VT et AbuseIPDB, ont effectué des vérifications VirusTotal sur les exécutables fournis et leurs hachages, et ont décodé les fichiers obscurcis avant d’exécuter des vérifications binaires et IP.
Ce qu’ils ont trouvé, c’est un total de 4 893 référentiels malveillants d’une manière ou d’une autre. Sur les 150 734 adresses IP uniques qui ont été extraites, 2 864 ont été trouvées sur des listes de blocage, 1 522 ont été précédemment signalées par VirusTotal et 1 069 ont été trouvées dans la base de données d’AbuseIPDB. En analysant les binaires sur 6 160 exécutables, les chercheurs ont trouvé 2 164 échantillons malveillants, hébergés dans 1 398 référentiels.
Dans l’ensemble, la possibilité de détecter des logiciels malveillants au lieu d’un véritable PoC est d’environ 10,3 %, ont conclu les chercheurs. Les victimes peuvent être infectées par une myriade de choses, des chevaux de Troie d’accès à distance aux balises Cobalt Strike.
Après avoir vu les résultats, GitHub a décidé de supprimer le contenu malveillant de sa plate-forme, mais BipOrdinateur trouvé au moins 60 exemples sont toujours en attente de suppression.
Via : BleepingComputer (s’ouvre dans un nouvel onglet)