GitHub, migliaia di repository PoC sono falsi o malevoli

  News, Rassegna Stampa, Security
image_pdfimage_print


Un team di ricercatori del Leiden Institute of Advanced Computer Science ha individuato migliaia di repository GitHub di finte proof-of-concept (PoC) per diverse vulnerabilità conosciute.

Molti di questi repository, oltre a non essere in alcun modo una reale PoC di falle di sicurezza, contengono anche codice malevolo. Nel loro report i ricercatori hanno spiegato che alcuni progetti, se eseguiti, installano malware sul sistema o collezionano dati sensibili.

Le PoC false trovate dai ricercatori riguardavano vulnerabilità rese note tra il 2017 e il 2021. Gli indizi che hanno portato il team ad approfondire la natura dei repository sono stati diversi; in particolare i ricercatori hanno controllato la presenza di IP in blacklist nel codice, di file binari malevoli e di payload offuscati.

GitHub poc

Nel primo caso il team ha individuato tutti quei repository che nel codice avevano degli indirizzi IP presenti in blacklist pubbliche, catalogati come pericolosi e sospetti. Alcuni repository, poi, contenevano dei file eseguibili: i ricercatori hanno controllato l’hash di questi file per verificare se anch’esso fosse presente nelle blacklist. Infine il team ha controllato la presenza di payload offuscati e codificati in base64 o esadecimali, analizzandone poi la natura.

Su 47.313 repository GitHub analizzati, 4.893 sono stati classificati come PoC false o codice malevolo. Purtroppo la tecnica adottata non è in grado di individuarli tutti, ma è comunque un buon punto di partenza per sviluppi futuri.

Questo approccio non è in grado di individuare ogni PoC falsa, in quanto esistono altri modi più ingegnosi per offuscare il codice malevolo” hanno specificato i ricercatori nel loro paper. “Abbiamo analizzato le similarità del codice come una feature per aiutare a identificare nuovi repository malevoli. I nostri risultati mostrano infatti che questi repository, in media, sono molto simili tra loro rispetto a quelli sicuri. Si tratta comunque di un primo step per sviluppare tecniche di analisi più precise”.

Condividi l’articolo



Articoli correlati

Altro in questa categoria


https://www.securityinfo.it/2022/10/24/github-poc-false-repository/?utm_source=rss&utm_medium=rss&utm_campaign=github-poc-false-repository