Uptycsはこのほど、「New PoC Exploit Found: Fake Proof of Concept with Backdoor Malware」において、偽の概念実証(PoC: Proof of Concept)に隠してバックドアが配布されていると伝えた。セキュリティ専門家に影響を与える悪意のある概念実証がGitHubで発見された。
Linuxカーネルの重大性の高い欠陥である「CVE-2023-35829」およびVMware Fusionに影響する特権昇格の脆弱性である「CVE-2023-20871」の概念実証を装ったリポジトリがGitHubで公開されている。見つかった不正なリポジトリは次のとおり。
- https://github.com/ChriSanders22/CVE-2023-35829-poc/
- https://github.com/ChriSanders22/CVE-2023-20871-poc/
- https://github.com/apkc/CVE-2023-35829-poc
概念実証に隠れたバックドアには、侵害されたホストから機密データを窃取する機能、被害者の.ssh/authorized_keysファイルに攻撃者のSSHキーを追加して不正アクセスを許可する機能などが備わっていることが確認されている。これらの概念実証を実行してしまった場合、SSHキーを無許可にするとともに、悪意のあるファイルを削除して潜在的な脅威が残っていないかを確認することが推奨されている。
偽の概念実証をルアーにセキュリティ専門家を狙うサイバー攻撃は先月も発見されており、このような手口は新たな脅威ではなくなってきている。正規のコードホスティングサービスであっても、公開されているコードをダウンロードして実行する際は、内容をよく理解しておくことが求められている(参考「偽セキュリティ研究者、GitHubとTwitter悪用してPoC偽装したマルウェア拡散 | TECH+(テックプラス)」)。