Onderzoekers van het Leiden Institute of Advanced Computer Science (LIACS) hebben in GitHub duizenden repositories gevonden die valse proof-of-concepts (PoC’s) bevatten voor exploits van kwetsbaarheden. De PoC’s bevatten vaak vormen van malware.

Securityonderzoekers gebruiken vaak proof-of-concepts om gevonden kwetsbaarheden te verifiëren. Deze PoC’s worden in repositories op GitHub geplaatst, om ontwikkelaars te helpen fixes voor deze beveiligingsproblemen te vinden. Ook kunnen ze worden gebruikt om de impact en omvang van de gevonden en werkende kwetsbaarheden vast te stellen.

In het onderzoek, dat probeert na te gaan hoe securityprofessionals in hun werk zelf worden aangevallen, naar 47.313 PoC’s uit 2017 tot en met 2021 kwamen de Leidse onderzoekers erachter dat duizenden van deze PoC’s eigenlijk fake waren. Hierbij waren bestaande bekende fakes en prankware al weg gefilterd. Daarnaast bleken ze vaak malware te bevatten, waardoor het risico op een malware-infectie in plaats van het krijgen van een PoC op ongeveer 10 procent komt te liggen.

Schadelijke scripts

De PoC’s werden onderzocht op basis van het analyseren van IP-adressen en een aantal andere analyses. Uit de analyses kwam naar voren dat van de in totaal 47.313 onderzochte PoC-repositories er 4.893 malware bevatten. Vooral was deze malware aanwezig in PoC’s voor in 2020 ontdekte kwetsbaarheden.

Nader onderzoek van de aangetroffen malware leverde op dat het hierbij vaak om schadelijke scripts gaat. Denk daarbij aan remote access trojans en het bekende kwaadaardige script Cobalt Stike. Andere aangetroffen malware richt zich vaak op het stelen van gegevens als IP-adressen, systeeminformatie en het installeren van een user agent.

Tips voor checken GitHub code

Bedrijven en ontwikkelaars moeten volgens de onderzoekers de repositories op GitHub niet blindelings vertrouwen en denken dat deze niet-schadelijke gegevens bevatten. Voordat zij materiaal van GitHub gebruiken, moeten zij nauwgezet de code lezen die zij op hun netwerk willen draaien.

Als de code te onduidelijk is en te veel tijd in beslag neemt voor een handmatige analyse, moeten zij de code in een sandbox stoppen, vaak een geïsoleerde vm, en het netwerk op verdacht verkeer checken.

Tot slot, zo raden de Leidse onderzoekers aan, moeten bedrijven en ontwikkelaars voor GitHub-code en PoC’s open-source intelligence tools als VirusTotal gebruiken voor het analyseren van de binaries.

Tip: Cybercriminelen klonen en infecteren duizenden GitHub repositories