Profil Peneliti Palsu Penyebar Malware Melalui Repositori Github
Cyberthreat.id - Setidaknya setengah lusin akun GitHub dari peneliti palsu yang terkait dengan perusahaan keamanan siber penipuan diamati mendorong repositori berbahaya pada layanan hosting kode.
Ketujuh repositori, yang masih tersedia hingga tulisan ini dibuat oleh The Hacker News, mengklaim sebagai eksploitasi proof-of-concept (PoC) untuk kelemahan zero-day yang diakui di Discord, Google Chrome, dan Microsoft Exchange Server.
VulnCheck, yang menemukan aktivitas tersebut, mengatakan kepada The Hacker News, "orang-orang yang membuat repositori ini telah berupaya keras untuk membuatnya terlihat sah dengan membuat jaringan akun dan profil Twitter, berpura-pura menjadi bagian dari perusahaan yang tidak ada bernama High Sierra Cyber Security."
Perusahaan cybersecurity mengatakan pertama kali menemukan repositori nakal pada awal Mei ketika mereka diamati merilis eksploitasi PoC serupa untuk bug zero-day di Signal dan WhatsApp. Kedua repositori sejak itu telah diturunkan.
Selain berbagi beberapa temuan yang diklaim di Twitter dalam upaya untuk membangun legitimasi, kumpulan akun telah ditemukan menggunakan headshot dari peneliti keamanan aktual dari perusahaan seperti Rapid7, menunjukkan bahwa pelaku ancaman telah berusaha keras untuk melaksanakan kampanye.
PoC adalah skrip Python yang dirancang untuk mengunduh biner berbahaya dan menjalankannya di sistem operasi korban, baik itu Windows atau Linux.
Daftar repositori GitHub dan akun Twitter palsu ada di bawah -
- github.com/AKUzmanHSCS/Microsoft-Exchange-RCE
- github.com/BAdithyaHSCS/Exchange-0-Day
- github.com/DLandonHSCS/Discord-RCE
- github.com/GSandersonHSCS/discord-0-day-fix
- github.com/MHadzicHSCS/Chrome-0-hari
- github.com/RShahHSCS/Discord-0-Day-Exploit
- github.com/SsankkarHSCS/Chromium-0-Hari
- twitter.com/AKUzmanHSCS
- twitter.com/DLandonHSCS
- twitter.com/GSandersonHSCS
- twitter.com/MHadzicHSCS
"Penyerang telah melakukan banyak upaya untuk membuat semua persona palsu ini, hanya untuk mengirimkan malware yang sangat jelas," kata peneliti VulnCheck, Jacob Baines. "Tidak jelas apakah mereka berhasil, tetapi mengingat bahwa mereka terus mengejar jalan serangan ini, tampaknya mereka yakin akan berhasil."
Saat ini tidak diketahui apakah ini adalah karya aktor amatir atau ancaman persisten tingkat lanjut (APT). Tetapi peneliti keamanan sebelumnya berada di bawah radar kelompok negara-bangsa Korea Utara, seperti yang diungkapkan oleh Google pada Januari 2021.
Jika ada, temuan menunjukkan perlunya berhati-hati saat mengunduh kode dari repositori sumber terbuka. Penting juga bagi pengguna untuk memeriksa kode sebelum dieksekusi untuk memastikan mereka tidak menimbulkan risiko keamanan apa pun.[]