En una señal de que los investigadores de seguridad cibernética continúan bajo el radar de los actores maliciosos, se descubrió una prueba de concepto (PoC) en GitHub, que oculta una puerta trasera con un método de persistencia «artesanal».
«En este caso, el PoC es un lobo con piel de oveja, que alberga intenciones maliciosas bajo la apariencia de una herramienta de aprendizaje inofensiva», dijeron los investigadores de Uptycs Nischay Hegde y Siddartha Malladi . «Operando como un descargador, descarga y ejecuta silenciosamente un script bash de Linux, mientras disfraza sus operaciones como un proceso a nivel de kernel».
El repositorio se hace pasar por un PoC para CVE-2023-35829 , una falla de alta gravedad recientemente revelada en el kernel de Linux. Desde entonces ha sido derribado, pero no antes de que se bifurcara 25 veces. Otro PoC compartido por la misma cuenta, ChriSanders22, para CVE-2023-20871 , un error de escalada de privilegios que afectaba a VMware Fusion, se bifurcó dos veces.
Uptypcs también identificó un segundo perfil de GitHub que contenía un PoC falso para CVE-2023-35829. Todavía está disponible al momento de escribir y se ha bifurcado 19 veces. Un examen más detallado del historial de confirmación muestra que los cambios fueron impulsados por ChriSanders22, lo que sugiere que se bifurcó del repositorio original.
La puerta trasera viene con una amplia gama de capacidades para robar datos confidenciales de hosts comprometidos y permitir que un actor de amenazas obtenga acceso remoto agregando su clave SSH al archivo .ssh/authorized_keys.
«El PoC pretende que ejecutemos un comando make que es una herramienta de automatización utilizada para compilar y crear ejecutables a partir de archivos de código fuente», explicaron los investigadores. «Pero dentro del Makefile reside un fragmento de código que construye y ejecuta el malware. El malware nombra y ejecuta un archivo llamado kworker , que agrega la ruta $HOME/.local/kworker en $HOME/.bashrc, estableciendo así su persistencia».
El desarrollo se produce casi un mes después de que VulnCheck descubriera una serie de cuentas falsas de GitHub que se hacían pasar por investigadores de seguridad para distribuir malware bajo la apariencia de explotaciones de PoC para software popular como Discord, Google Chrome, Microsoft Exchange Server, Signal y WhatsApp.
Se recomienda a los usuarios que hayan descargado y ejecutado los PoC que utilicen claves SSH no autorizadas, eliminen el archivo kworker, eliminen la ruta de kworker del archivo bashrc y verifiquen /tmp/.iCE-unix.pid en busca de posibles amenazas.
«Si bien puede ser un desafío distinguir los PoC legítimos de los engañosos, la adopción de prácticas seguras como las pruebas en entornos aislados (por ejemplo, máquinas virtuales) puede proporcionar una capa de protección», dijeron los investigadores.
Fuente y redacción: thehackernews.com
