GitHub 上的假冒漏洞利用代码调查

重点总结

• 成千上万的 GitHub 仓库被发现包含假冒的漏洞利用代码（PoC）。
• 被恶意软件感染的概率比确保使用 PoC 的概率高出 10.3%。
• 研究发现，2017 至 2021 年间检查了 47,313 个包含漏洞利用代码的 GitHub 仓库，其中 4,893 个被认定为恶意代码。
• 调查中识别出多种恶意软件与脚本，包括针对 BlueKeep 漏洞的特洛伊木马 Houdini RAT，以及另一种针对 IP 地址和系统信息的信息窃取恶意软件。

成千上万的 GitHub 仓库被发现存在假冒的漏洞利用证明（PoC），并且研究报告指出用户遭受恶意软件攻击的风险比使用真实的 PoC 高出
10.3%。这项研究由莱顿高等计算机科学研究所进行，涵盖了 2017 到 2021 年间的 47,313 个 GitHub 仓库，其中 4,893个被确认是恶意的，主要涉及 2020 年的安全漏洞。

重要的是，这些恶意仓库中包含了各种恶意软件和恶意脚本。例如，与 BlueKeep 漏洞（CVE-2019-0708）相关的 PoC 被发现携带了
Houdini RAT 特洛伊木马。此外，另一种伪造的 PoC 被证实是一种信息窃取恶意软件，旨在攻击 IP 地址、系统信息和用户代理。

安全研究人员 El Yadmani Soufian 指出，GitHub 上恶意 PoC 的广泛存在应促使软件测试人员仔细检查 PoC代码，针对过度混淆的代码进行沙箱处理，并利用 VirusTotal 等开源情报工具以防止安全受到威胁。

如何防范假冒 PoC

防范措施 | 说明
—|—
仔细检查 PoC 代码 | 确认代码来源及其执行内容。
沙箱处理混淆代码 | 在安全的环境中运行来隔离潜在风险。
利用开源情报工具 | 使用工具如 VirusTotal 来检测和分析恶意软件。

这种情况下，更加谨慎的态度和策略将有利于保护个人和组织的安全，避免潜在的恶意攻击。了解这些威胁，并采取有效措施进行防护，是每个开发者和安全从业者都应重视的任务。