«Skadevaren i seg selv er gammelt nytt. Det som endrer seg, er leveringsmekanismen.» Slik oppsummerer YesWeHack og Sekoia funnet de publiserte 1. juli: ChocoPoC, en remote access-trojaner som reiser i falske proof-of-concept-repos på GitHub. Repoene lover kode som utnytter ferske CVE-er, og som på rapporttidspunktet fortsatt lå live sammen med serverne sine.
Trikset er hvor koden ligger. Selve PoC-en du leser, ser ren ut. Skadevaren skjuler seg i et Python-avhengighet PoC-en drar inn: pip install henter pakken frint, som igjen drar med seg skytext. Den siste leverer en kompilert fil (gradient.so på Linux, gradient.pyd på Windows) som kjører idet du starter PoC-en, men bare når den ser en ekte PoC-fil lastet. Kjører du pakken alene i en sandkasse, sover den, og sandkassen ser ingenting.
YesWeHack og Sekoia fant minst sju falske repos, hvert knyttet til et høyprofilert hull som FortiWeb-, PAN-OS- og Check Point-VPN-sårbarheter. Pakken skytext alene ble lastet ned rundt 2 400 ganger, mest på Linux, med topper rett etter at store CVE-er ble kjent. For kontroll gjemmer trojaneren ordrene sine i et Mapbox-datasett og bruker domain fronting, så trafikken ser ut som vanlige Mapbox-API-kall.
Sikkerhetsforskere er et rikt mål: de kjører utrygg kode som en del av jobben, ofte med høye privilegier, og maskinene deres rommer klientnøkler og detaljer om pågående oppdrag. Sekoia advarer om et dobbelt supply chain-treff: forgifter du én forsker som leverer deteksjoner til rammeverk som Nuclei, kan den skadelige koden ri videre inn til tusenvis som stoler på dem.
Hva bør du gjøre?
- Behandle enhver PoC som fiendtlig til det motsatte er bevist, og hold deg unna kode fra helt nye eller ukjente kontoer.
- Les hele avhengighetskjeden, ikke bare PoC-filen. Se etter nypubliserte pakker og ukjente vedlikeholdere.
- Sjekk systemene dine for
frint,skytext,slogsecoglogcrypt.cryptography. Kjørte du noen av dem, roter nøkler og bygg om maskinen.