Signe que les chercheurs en cybersécurité continuent d’être sous le radar des acteurs malveillants, une preuve de concept (PoC) a été découverte sur GitHub, dissimulant une porte dérobée avec une méthode de persistance « rusée ».
« Dans ce cas, le PoC est un loup déguisé en mouton, nourrissant une intention malveillante sous le couvert d’un outil d’apprentissage inoffensif », ont déclaré les chercheurs d’Uptycs Nischay Hegde et Siddartha Malladi. « Fonctionnant comme un téléchargeur, il vide et exécute silencieusement un script bash Linux, tout en déguisant ses opérations en processus au niveau du noyau. »
Le référentiel se fait passer pour un PoC pour CVE-2023-35829, une faille de haute gravité récemment révélée dans le noyau Linux. Il a depuis été démonté, mais pas avant d’avoir été bifurqué 25 fois. Un autre PoC partagé par le même compte, ChriSanders22, pour CVE-2023-20871, un bogue d’escalade de privilèges affectant VMware Fusion, a été bifurqué deux fois.
Uptypcs a également identifié un deuxième profil GitHub contenant un faux PoC pour CVE-2023-35829. Il est toujours disponible au moment de la rédaction et a été bifurqué 19 fois. Un examen plus approfondi de l’historique des commits montre que les modifications ont été poussées par ChriSanders22, ce qui suggère qu’il a été dérivé du référentiel d’origine.
La porte dérobée est dotée d’un large éventail de fonctionnalités pour voler des données sensibles à des hôtes compromis et permettre à un acteur malveillant d’accéder à distance en ajoutant sa clé SSH au fichier .ssh/authorized_keys.
« Le PoC nous propose d’exécuter une commande make qui est un outil d’automatisation utilisé pour compiler et créer des exécutables à partir de fichiers de code source », ont expliqué les chercheurs. « Mais dans le Makefile réside un extrait de code qui construit et exécute le malware. Le malware nomme et exécute un fichier nommé kworker, qui ajoute le chemin $HOME/.local/kworker dans $HOME/.bashrc, établissant ainsi sa persistance. »
Le développement intervient près d’un mois après que VulnCheck a découvert un certain nombre de faux comptes GitHub se faisant passer pour des chercheurs en sécurité pour distribuer des logiciels malveillants sous le couvert d’exploits PoC pour des logiciels populaires tels que Discord, Google Chrome, Microsoft Exchange Server, Signal et WhatsApp.
Il est recommandé aux utilisateurs qui ont téléchargé et exécuté les PoC d’utiliser des clés SSH non autorisées, de supprimer le fichier kworker, d’effacer le chemin kworker du fichier bashrc et de vérifier /tmp/.iCE-unix.pid pour les menaces potentielles.
« Bien qu’il puisse être difficile de distinguer les PoC légitimes des trompeurs, l’adoption de pratiques sûres telles que les tests dans des environnements isolés (par exemple, des machines virtuelles) peut fournir une couche de protection », ont déclaré les chercheurs.
