合法的概念验证被利用来传播信息窃取工具 在线

安全研究人员面临的新威胁：恶意利用网络共享的概念验证

关键要点

最近，一家安全公司发布的概念验证PoC被黑客恶意利用，暴露了安全研究人员的新风险。黑客通过操控原始 PoC，将其转变为恶意版本，欺骗不知情的用户。安全专家建议只从可靠的开源库下载内容，并保持警惕，特别是对于可执行文件。

一项最近的事件展示了公开发布的 PoC 如何被恶意利用，进而误导安全研究人员。一个声誉良好的安全公司分享的开源 PoC 因被不法分子复制并篡改而成为了最新的网络攻击实例。

原始的 PoC 针对已知漏洞，旨在帮助学生、研究人员和 IT 专业人员共享信息，以改善软件和增强安全防护。然而，互联网的开放性使得任何发布的信息都有可能被滥用。

CSOonline 报导了原始的 以及安全的 PoC 漏洞，LDAPNightmare。这是 SafeBreach 为 Windows Lightweight Directory Access Protocol (LDAP) 在 1 月 3 日发布的。然而，Trend Micro 现在声称在 GitHub 上发现了该 PoC 的恶意版本。

在一次访谈中，SafeBreach 安全研究副总裁 Tomer Bar 强调，公司的 PoC 没有被破坏，而是被复制和篡改。原始的概念验证漏洞是在 SafeBreach 的官方 GitHub 网站上发布的。

“我们始终发布完整的开源代码，”他补充道，“以便人们可以验证其有效性并确保其不具恶意。”

“包含 PoC 的恶意代码库似乎是原创建者的一个分支，”Trend Micro 在其报告中表示。 “在这种情况下，原始的 Python 文件被一个名为 poc[dot]exe 的可执行文件所替代，而这个文件是通过 UPX 打包的。”

幸运的是，Python 项目中出现可执行文件的现象，使得有经验的信息安全专家们意识到事情不对劲。

经典的木马攻击

这个恶意库已经被删除。但其发现再次表明了IT领域中，任何人都应该小心从任何地方下载代码，包括开源库。加拿大意识培训公司 Beauceron Security 的 CEO David Shipley 提到。

xfuspw旋风加速

“木马就是会木马，”他在一次访谈中形容试图诱骗不知情者的这一行为为“经典的社会工程策略”。

“这就是经典的 木马攻击：你在寻找合法的、基于研究的 PoC，结果却下载了一个看似合法的 POC，实际上却包含了可执行文件。”

他表示，威胁行为者越来越多地使用这一策略的原因是，因为这确实有效。为了防范这种情况，建议在隔离的计算机环境中测试概念验证。

“任何网络上的代码在确定安全之前，都应该被视为极其不安全，”Shipley 补充道。

并非新手法

使用 PoC 隐藏恶意软件或后门的手法并不新颖。例如，在 2023 年，Uptycs 报告了 一个广泛传播的恶意 PoC，声称可以解决关键的 Linux 内核漏洞 CVE202335829。而根据 2022 年 康奈尔大学的一项研究，对 GitHub 托管的 PoC 进行检查的结果发现，近 2 的 47285 个代码库有恶意意图的迹象。“这一数据表明，GitHub 上分发的恶意 PoC 的普遍存在令人担忧，”这项研究得出结论这一发现是两年多前的。

去年秋天，[SonicWall 又发布了一份关于恶意 PoC 上升的报告](https//wwwsonicwall