Исследователи Лейденского института передовых компьютерных наук нашли более 4 тыс. GitHub-репозиториев, содержащих поддельные Proof of Concept эксплойты ко множеству уязвимостей. Код в репозиториях содержит скрытые скрипты для установки вредоносов.
Учёные проанализировали содержимое 47 313 репозиториев в GitHub и 4893 из них были признаны вредоносными, что составляет 10,3% от общего числа. Во всех таких репозиториях встречаются одинаковые проблемы:
код обращается к вредоносным IP-адресам;
код содержит скрипты для установки вредоносов.
Часть IP-адресов, к которым обращается код, находится в чёрных списках и отмечена как вредоносная. Всего удалось проверить 358 277 адресов: 150 734 признали уникальными, 2864 были занесены в чёрные списки.
Также было выявлено, что код из заражённых репозиториев содержал скрытые скрипты для установки вредоносов. К примеру, PoC для уязвимости CVE-2019-0708, известной как BlueKeep, содержал строку в формате base64. Строка запускалась сразу после декодирования и открывала Python-скрипт, который запускал другой скрипт на Visual Basic и устанавливал вредонос Houdini.
Исследователи уже оповестили администрацию GitHub и предоставили список заражённых репозиториев. Специалисты считают, что такого рода атаки направлены в первую очередь на экспертов в области информационной безопасности.