Több olyan GitHub fiókot figyeltek meg, amelyek rosszindulatú repozitóriumokat töltöttek fel és mind egy csaló kiberbiztonsági céghez köthetőek.
A tevékenységet felfedező VulnCheck szerint „az ezeket a repókat létrehozó személyek sok energiát fektettek abba, hogy legitimnek tűnjenek azáltal, hogy fiókok és Twitter profilok hálózatát hozták létre, amelyek a High Sierra Cyber Security nevű, nem létező céghez tartoznak”. A szakemberek azt állítják, hogy ezek PoC exploitok a Discord, a Google Chrome és a Microsoft Exchange Server zero-day hibáihoz. Továbbá május elején bukkantak rá a repozitóriumokra, amikor hasonló PoC exploitokat adtak ki a Signal és WhatsApp zero-day hibáihoz. A két repozitóriumot azóta eltávolították.
A PoC exploit egy biztonsági sebezhetőség létezésének, valós kihasználhatóságának tételes bizonyítása, demonstrálása, amit általában biztonsági kutatók készítenek és tesznek elérhetővé.
A PoC egy Python script, amelynek célja egy rosszindulatú bináris letöltése és végrehajtása az áldozat operációs rendszerén.
A GitHub repozitóriumok és a hamis Twitter fiókok listája:
-
github.com/AKuzmanHSCS/Microsoft-Exchange-RCE
-
github.com/BAdithyaHSCS/BAdithyaHSCS/Exchange-0-Day
-
github.com/DLandonHSCS/Discord-RCE
-
github.com/GSandersonHSCS/discord-0-day-fix
-
github.com/MHadzicHSCS/Chrome-0-day
-
github.com/RShahHSCS/Discord-0-Day-Exploit
-
github.com/SsankkarHSCS/Chromium-0-Day
-
twitter.com/AKuzmanHSCS
-
twitter.com/DLandonHSCS
-
twitter.com/GSandersonHSCS
-
twitter.com/MHadzicHSCS
Azt egyelőre nem tudni, hogy egy amatőr csoportról-, vagy egy APT csoportról van-e szó, valamint sikerrel jártak-e a támadások során, de Jacob Baines, a VulnCheck kutatója szerint elképzelhető, hogy a hamis személyazonosságok létrehozásának köszönhetően több áldozat is lehet.
A szakemberek azt javasolják, hogy minden nyílt forrásból származó kódot fenntartással kell kezelni. Elengedhetetlen, hogy a felhasználók a végrehajtás előtt alaposan megvizsgálják a kódokat, hogy megbizonyosodjanak a kockázatmentességről.
