Опасный репозиторий на GitHub воровал данные пользователей

Размещенный на GitHub репозиторий PoC (proof of concept) оказался бэкдором, который позволял похищать данные пользователей. Необычную уязвимость обнаружили исследователи из Uptycs.

Вредоносный компонент репозитория запускает загрузку файлов. Он без каких-либо уведомлений создает bash-скрипт, маскируя свои действия на уровне диспетчера процессов.

В бэкдоре скрыт мощный инструментарий для хищения данных. Он может извлекать разнообразную информацию: от имен хостов до полного перечня контента домашней директории. Атакующий может получить полный доступ к системе, добавив собственный SSH-ключ в файл с прошедшими авторизацию ключами.

Исследователи отмечают связь обнаруженного бэкдора с ранее найденной уязвимостью CVE-2023-35829. На возможное наличие проблемы указывают следующие признаки: внезапные соединения с сетью, нетипичные трансферы данных и попытки неавторизованного доступа к системе.