截至撰写本文时，所有报告的假冒存储库均已被删除，恶意PoC已从GitHub中删除。骗局中植入的后门能够窃取广泛的数据，包括主机名、用户名和主目录内容的完整列表。

网络安全研究人员发现了安全社区中的一种欺骗性趋势——GitHub上的概念验证(PoC)存储库看似解决了漏洞，但实际上包含隐藏的后门。Uptycs威胁研究团队的发现引起了安全研究界的担忧。

研究人员通常使用PoC通过无害测试来识别潜在漏洞。然而，这个恶意PoC作为下载程序运行，将其活动伪装成内核级进程，同时默默地执行Linux bash脚本。

该后门能够窃取广泛的数据，包括主机名、用户名和主目录内容的完整列表。此外，通过将SSH密钥添加到authorized_keys文件中，攻击者可以实现对目标系统的完全控制。

在这里，可以确认上述GitHub个人资料中使用的图像属于Shahriyar Hamid oghlu Mammadyarov，国际上称为Shakhriyar Mamedyarov，他是阿塞拜疆国际象棋特级大师。该个人资料图片是从流行的国际象棋相关YouTube频道ChessBase India发布的博客文章和YouTube视频中盗取的。

该后门是在对各种常见漏洞和暴露(CVE)进行PoC测试时发现的，当时Uptycs团队遇到了一个声称可以解决关键漏洞CVE-2023-35829的PoC。然而，他们发现了一些不寻常的活动，引发了人们对PoC合法性的怀疑。

可疑行为包​​括意外的网络连接、异常的数据传输以及未经授权的系统访问尝试。进一步的调查揭示了“aclocal.m4”文件的重要性，需要进行额外的分析。

二进制文件的主要功能包含一个有趣的字符串“kworker”，它在欺骗中起着至关重要的作用。该代码检查二进制文件是否名为“kworker”并相应地执行特定操作，通过文件操作建立后门持久性。

Uptycs威胁研究团队的Nischay Hegde和Siddartha Malladi在他们的报告中写道，PoC使用分叉来创建新进程，从而模糊了原始命令行参数。然后，父进程执行“curl_func()”函数，该函数下载包含bash脚本的URL。如果curl请求成功，则执行该脚本。

伪造的PoC是另一个Linux内核漏洞CVE-2022-34918的合法利用的副本。它创造了一个root shell的假象，利用用户命名空间的差异来欺骗用户。但是，授予的权限仅限于特定命名空间内的“/bin/bash”shell。

使用Uptycs扩展检测和响应(XDR)，该二进制文件的行为主要被识别为下载程序。它从远程源检索脚本并在受感染的系统上执行它。下载的脚本访问“/etc/passwd”文件并修改“~/.ssh/authorized_keys”文件以授予未经授权的访问权限并使用特定URL窃取数据。

这起事件并非孤立事件；就在上个月，有报道称GitHub和Twitter上的几个虚假帐户正在恶意PoC中传播恶意软件，这些恶意软件感染了基于Windows和Linux的系统。

在撰写本文时，ChriSander22的存储库已被删除。尽管恶意PoC也已从GitHub中删除，但它被广泛分享，在其真实性质被曝光之前就引起了广泛关注。执行 PoC 的人面临着很高的数据泄露风险。

因此，立即采取行动至关重要，包括删除未经授权的SSH密钥、删除“kworker”文件、从“bashrc”文件中删除kworker路径以及检查“/tmp/.iCE-unix.pid”中是否存在潜在威胁。 ”。

恶意的存储库：
1. https://github.com/apkc/CVE-2023-35829-poc
2. https://github.com/ChriSanders22/CVE-2023-20871-poc/
3. https://github.com/ChriSanders22/CVE-2023-35829-poc/（存档链接）

区分合法和恶意PoC可能具有挑战性，我们鼓励安全研究人员采用安全实践，例如在虚拟机等隔离环境中进行测试，以增强针对这些不断变化的网络安全风险的防护。