据观察,至少有一半来自与欺诈性网络安全公司相关的假研究人员的 GitHub 账户在代码托管服务上推送恶意存储库。

国际知名白帽黑客、东方联盟创始人郭盛华表示,“所有7个存储库在撰写本文时仍然可用,它们声称是针对 Discord、Google Chrome 和 Microsoft Exchange Server 中所谓的零日漏洞的概念验证 (PoC) 漏洞利用。它在 5 月初首次发现流氓存储库,当时观察到它们在 Signal 和 WhatsApp 中针对零日漏洞发布了类似的 PoC 漏洞。这两个存储库已被删除。 “

除了黑客分享一些据称的发现以试图建立合法性外,还发现这个账户使用了 Rapid7 等公司的实际安全研究人员的头像,这表明威胁行为者已经竭尽全力执行该活动。

郭盛华表示:“PoC 是一个 Python 脚本,旨在下载恶意二进制文件并在受害者的操作系统(Windows或Linux)上执行它。攻击者付出了很多努力来创建所有这些虚假角色,只是为了提供非常明显的恶意软件。目前还不清楚他们是否成功了,但鉴于他们一直在寻求这种攻击途径,他们似乎相信自己会成功。”

目前尚不清楚这是业余演员所为还是高级持续性威胁 (APT)。郭盛华说:“调查结果表明在从开源存储库下载代码时需要谨慎行事。用户在执行之前仔细检查代码以确保它们不会带来任何安全风险也很重要。”(欢迎转载分享)