En una señal de que los investigadores de ciberseguridad continúan estando en el radar de actores maliciosos, se ha descubierto una prueba de concepto (PoC) en GitHub que oculta una puerta trasera con un método de persistencia "astuto".
"En este caso, la PoC es un lobo con piel de cordero, albergando intenciones maliciosas bajo la apariencia de una herramienta de aprendizaje inofensiva", dijeron los investigadores de Uptycs, Nischay Hegde y Siddartha Malladi. "Funcionando como un descargador, silenciosamente copia y ejecuta un script de bash de Linux, mientras disfraza sus operaciones como un proceso a nivel de kernel".
El repositorio se hace pasar por una PoC para CVE-2023-35829, una falla de alta gravedad en el kernel de Linux recientemente revelada. Desde entonces, ha sido eliminado, pero no antes de ser bifurcado 25 veces. Otra PoC compartida por la misma cuenta, ChriSanders22, para CVE-2023-20871, una falla de escalada de privilegios que afecta a VMware Fusion, fue bifurcada dos veces.
Uptypcs también identificó un segundo perfil de GitHub que contiene una PoC falsa para CVE-2023-35829. TodavÃa está disponible al momento de escribir esto y ha sido bifurcado 19 veces. Un examen más detallado del historial de cambios muestra que los cambios fueron realizados por ChriSanders22, lo que sugiere que se bifurcó del repositorio original.
La puerta trasera viene con una amplia gama de capacidades para robar datos sensibles de hosts comprometidos y permitir que un actor malintencionado obtenga acceso remoto mediante la adición de su clave SSH al archivo ".ssh/authorized_keys".
"La PoC nos indica que ejecutemos un comando make, que es una herramienta de automatización utilizada para compilar y construir ejecutables a partir de archivos de código fuente", explicaron los investigadores. "Pero dentro del archivo Makefile se encuentra un fragmento de código que construye y ejecuta el malware. El malware nombra y ejecuta un archivo llamado kworker, que agrega la ruta $HOME/.local/kworker en $HOME/.bashrc, estableciendo asà su persistencia".
Este desarrollo se produce casi un mes después de que VulnCheck descubriera varias cuentas falsas de GitHub que se hacen pasar por investigadores de seguridad para distribuir malware bajo la apariencia de exploits PoC para software popular como Discord, Google Chrome, Microsoft Exchange Server, Signal y WhatsApp. Se recomienda a los usuarios que hayan descargado y ejecutado las PoCs que anulen las claves SSH no autorizadas, eliminen el archivo kworker, borren la ruta kworker del archivo bashrc y revisen /tmp/.iCE-unix.pid en busca de posibles amenazas.
"Aunque puede ser difÃcil distinguir las PoCs legÃtimas de las engañosas, adoptar prácticas seguras como probar en entornos aislados (por ejemplo, máquinas virtuales) puede proporcionar una capa de protección", dijeron los investigadores.
¿Quieres saber más?