Malwarebytesは10月27日(米国時間)、「Fake Proof-of-Concepts used to lure security professionals」において、セキュリティ専門家をだますための偽の概念実証(PoC: Proof of Concept)がGitHubで公開されていると伝えた。偽の概念実証を発見したのはオランダにあるライデン大学のセキュリティ研究者で、サイバー犯罪者がセキュリティ専門家にマルウェアをインストールさせるための仕業とみられている。
ライデン大学のセキュリティ研究者が2017年から2021年の間で発見された既知の脆弱性についてGitHubで共有されている概念実証の調査を行い、ダウンロードしてチェックした47,313のリポジトリのうち、4,893のリポジトリに悪意があることが明らかとなった。
リポジトリに悪意のある概念実証が含まれていることを詳細に分析することは不可能であるため、セキュリティ研究者は概念実証に悪意があることを確立するための特定の指標を決定している。セキュリティ研究者の指標は次のとおり。
- IPアドレスを抽出し、すべてのプライベートIPアドレスを削除するとともにVirusTotal、AbuseIPDBおよびその他の公開されているブロックリストと比較
- ほとんどのマルウェアがWindowsユーザーを標的としているため、Windowsシステムで実行できるExeファイルに焦点を当てたバイナリを抽出。VirusTotalでハッシュ値をチェックし、悪意のあるものとして検出されたものの中から対象の脆弱性を悪用するものを除外
- 16進数およびbase64の分析を実行し、追加で悪意のある概念実証を抽出
悪意のある概念実証の中にはバックドアの実行やマルウェアを仕込む指示などが発見されている。これらの概念実証がセキュリティサービスコミュニティを標的にしていることから、GitHubで公開されている概念実証を確認する際には注意することが望まれる。