Sono stati osservati almeno sei account GitHub associati a falsi ricercatori di una società di cybersecurity fraudolenta che diffondevano repository malevoli sul servizio di hosting del codice. Tutti e sette i repository, ancora disponibili al momento della stesura di questo articolo, affermano di essere un exploit di prova di concetto (PoC) per presunte vulnerabilità zero-day in Discord, Google Chrome e Microsoft Exchange.
Una rete di account e profili Twitter falsi
VulnCheck, che ha scoperto l’attività, ha dichiarato: “Gli individui che creano questi repository hanno messo un notevole impegno nel farli sembrare legittimi creando una rete di account e profili Twitter, fingendo di far parte di una società inesistente chiamata High Sierra Cyber Security”. La società di cybersecurity ha affermato di aver incontrato per la prima volta i repository canaglia all’inizio di maggio, quando sono stati osservati a diffondere exploit PoC simili per bug zero-day in Signal e WhatsApp. I due repository sono stati da allora rimossi.
Un tentativo di costruire legittimità
Oltre a condividere alcuni dei presunti risultati su Twitter nel tentativo di costruire legittimità, la rete di account utilizza anche foto di veri ricercatori di sicurezza di aziende come Rapid7, suggerendo che gli attori della minaccia hanno messo un notevole impegno nel creare la campagna. Il PoC è uno script Python progettato per scaricare un binario malevolo ed eseguirlo sul sistema operativo della vittima, sia esso Windows o Linux.
Un attacco ben pianificato
“L’attaccante ha fatto molti sforzi per creare tutte queste false persone, solo per consegnare malware molto evidente”, ha detto il ricercatore di VulnCheck, Jacob Baines. “Non è chiaro se siano stati efficaci, ma dato che hanno continuato a perseguire questa via di attacchi, sembra che credano di avere successo”.
Necessità di cautela nell’utilizzo dei repository open source
Non si sa ancora se si tratti del lavoro di un attore dilettante o di una minaccia persistente avanzata (APT). Ma i ricercatori di sicurezza sono già stati nel mirino di gruppi di stati-nazione nordcoreani, come rivelato da Google nel gennaio 2021. In ogni caso, i risultati mostrano la necessità di esercitare cautela quando si scarica il codice dai repository open source. È anche essenziale che gli utenti esaminino il codice prima dell’esecuzione per assicurarsi che non comporti rischi di sicurezza.