Un PoC légitime exploité pour propager un voleur d’informations

Lucas Morel

C’est un autre exemple de la manière dont les preuves de concept publiées ouvertement sont utilisées à mauvais escient par des chercheurs en sécurité.

Un exploit de preuve de concept (PoC) open source récemment copié et abusé par une société de sécurité réputée, visant à aider les chercheurs en menaces, est le dernier exemple des nouvelles tactiques que les pirates utiliseront pour propager des logiciels malveillants.

Les PoC pour les vulnérabilités connues sont créés pour être partagés par les étudiants, les chercheurs et les professionnels de l’informatique afin d’améliorer les logiciels et de renforcer les défenses. Le danger est que tout ce qui est publié sur Internet puisse faire l’objet d’abus.

Dans une interview, Tomer Bar, vice-président de la recherche en sécurité chez SafeBreach, a souligné que le PoC de l’entreprise n’avait pas été compromis, mais avait été copié et manipulé. L’exploit de preuve de concept original a été publié sur le site officiel GitHub de SafeBreach.

« Nous publions toujours du code open source complet », a-t-il ajouté, « afin que les gens puissent vérifier qu’il est valide et non malveillant ».

« Le référentiel malveillant contenant le PoC semble être un fork du créateur original », a déclaré Trend Micro dans son rapport. « Dans ce cas, les fichiers Python d’origine ont été remplacés par l’exécutable compressé à l’aide d’UPX. »

Heureusement, la présence d’un fichier exécutable dans un projet basé sur Python était un indice pour les professionnels expérimentés de la sécurité de l’information que quelque chose n’allait pas.

Un « cheval de Troie classique »

Le mauvais référentiel a depuis été supprimé. Mais sa découverte est un autre exemple de la raison pour laquelle tout professionnel de l’informatique devrait faire attention lorsqu’il télécharge du code depuis n’importe où, y compris un référentiel open source, a déclaré David Shipley, PDG de la société canadienne de formation en sensibilisation Beauceron Security.

« Un cheval de Troie va devenir un cheval de Troie », a-t-il déclaré dans une interview, décrivant la tentative d’attirer les personnes non préparées comme une « stratégie classique d’ingénierie sociale ».

« C’est le cheval de Troie classique : vous recherchez un PoC légitime, basé sur la recherche, et vous en obtenez un qui ressemble au PoC, mais vous en obtenez un avec un exécutable. »

La raison pour laquelle les acteurs de la menace utilisent de plus en plus cette tactique, a-t-il expliqué, est qu’elle fonctionne. Parmi les défenses : Tester la preuve de concept dans un environnement informatique isolé.

« Tout code provenant du Web doit être traité comme extrêmement insalubre jusqu’à ce que vous sachiez qu’il est sûr », a ajouté Shipley.

Ce n’est pas une nouvelle tactique

La tactique consistant à utiliser un PoC pour masquer un malware ou une porte dérobée n’est pas nouvelle. En 2023, par exemple, Uptycs a fait état d’une preuve de concept malveillante largement partagée sur GitHub, censée remédier à la vulnérabilité critique du noyau Linux CVE-2023-35829. Et selon une étude réalisée en 2022 par des chercheurs de l’Université Cornell sur les PoC hébergés par GitHub, près de 2 % des 47 285 référentiels examinés présentaient des indicateurs d’intention malveillante. « Ce chiffre montre une prévalence inquiétante de PoC malveillants dangereux parmi le code d’exploitation distribué sur GitHub », conclut l’étude – et cela remonte à plus de deux ans.

L’automne dernier, SonicWall a publié un autre rapport sur l’augmentation des PoC malveillants. « Bien que les chercheurs en sécurité soient souvent très bien équipés pour gérer et détecter cette situation », conclut-il, « il est facile de devenir trop confiant, ce qui conduit à des compromis. »

Utilisez uniquement des référentiels fiables

Les professionnels de la cybersécurité, y compris les équipes bleues et rouges, ne devraient télécharger que du contenu provenant de référentiels open source fiables qui ont de nombreuses étoiles, a déclaré SafeBreach’s Bar, et ne jamais télécharger d’exécutables à partir de sources non fiables.

De plus, Trend Micro a conseillé aux informaticiens de :

  • téléchargez toujours le code, les bibliothèques et les dépendances à partir de référentiels officiels et fiables ;
  • méfiez-vous des référentiels dont le contenu suspect peut sembler déplacé pour l’outil ou l’application qu’ils sont censés héberger ;
  • si possible, confirmer l’identité du propriétaire ou de l’organisation du référentiel ;
  • examiner l’historique des validations du référentiel et les modifications récentes à la recherche d’anomalies ou de signes d’activité malveillante ;
  • méfiez-vous des référentiels avec très peu d’étoiles, de forks ou de contributeurs, surtout s’ils prétendent être largement utilisés ;
  • recherchez des avis, des problèmes ou des discussions sur le référentiel pour identifier les signaux d’alarme potentiels.