Linux 内核漏洞虚假 PoC 发 GitHub，专门攻击研究员

研究人员指出，“在这一案例中，该 PoC 是披着羊皮的狼，以无害的学习工具伪装恶意意图。它是一款下载器，静默转储并执行 Linux bash 脚本，将其操作伪装为内核级别的进程。”

该仓库伪装成CVE-2023-35829的PoC。该漏洞是近期在 Linux 内核中出现的高危漏洞。虽然之后被下降，但其被fork 了25次。该账户 ChriSanders22 还发布了影响 VMware Fusion 的提权漏洞CVE-2023-20871的 PoC，被fork了两次。

研究人员还发现另外一个 GitHub 账户中含有 CVE-2023-35829的恶意 PoC，截止到本文发布前，已经被fork了19次。查看提交历史后发现，它是由 ChriSanders22 推送的变更，说明它是从原始仓库中被 fork 的。

后门具有一系列能力，如从受陷主机中窃取敏感数据，使威胁行动者通过将 SSH密钥添加到 .ssh/authorized_keys 文件中的方式获得远程访问权限。研究人员指出，“该 PoC 旨在让我们运行一个 make 命令，该命令供自动工具从源代码文件中编译和构建可执行文件。但在 Makefile 中存在一个代码片段可构建和执行该恶意软件。该恶意软件命名和运行文件 kworker，在 $HOME/.bashrc 中增加 $HOME/.local/kworker 路径，从而建立可持久性。”

大概一个月前，VulnCheck 发现大量虚假 GitHub 账户伪装成安全研究员发布伪装成热门软件 PoC 利用的恶意软件，这些热门软件包括 Discord、谷歌 Chrome、微软 Exchange Server、Signal 和 WhatsApp。

下载并执行了这些 PoC 的用户被建议获取月越权SSH密钥，他们应删除 kworker 文件，从 bashrc 文件中删除 kworker 路径并检查 /tmp/.iCE-unix.pid 中是否存在潜在威胁。

研究人员指出，“虽然难以区分合法与欺诈性 PoC，但应采取一些安全实践如在隔离环境中进行测试可以提供防护。”

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

    觉得不错，就点个 “在看” 或 "赞” 吧~