GitHub: falso exploit LDAPNightmware diffonde infostealer

Un exploit proof-of-concept (PoC) ingannevole per CVE-2024-49113 ("LDAPNightmare") su GitHub infetta gli utenti con malware infostealer che esfiltra dati sensibili su un server FTP esterno. La tattica non è nuova, poiché sono stati documentati diversi casi di strumenti dannosi camuffati da exploit PoC su GitHub. Tuttavia, questo caso, scoperto da Trend Micro, evidenzia che gli autori della minaccia continuano a utilizzare la tattica per ingannare gli utenti ignari inducendoli a infettarsi con malware.

Secondo Trend Micro, il repository GitHub dannoso contiene un progetto che sembra essere stato forkato dal PoC legittimo di SafeBreach Labs per CVE-2024-49113. Quest’ultimo è stato pubblicato il 1 gennaio 2025. Si tratta di una delle due falle che hanno avuto un impatto sul protocollo LDAP (Lightweight Directory Access Protocol) di Windows, risolte da Microsoft a dicembre 2024. L’altra falla riguarda invece un problema critico di esecuzione di codice remoto (RCE) identificato come CVE-2024-49112. Il post iniziale del blog di SafeBreach sul PoC menzionava erroneamente CVE-2024-49112. Il loro PoC era invece per CVE-2024-49113, che è una vulnerabilità di negazione del servizio di gravità inferiore.  Questo errore, anche se corretto in seguito, ha creato maggiore interesse e fermento attorno a LDAPNightmare e al suo potenziale di attacchi.

GitHub: come avviene l’infezione tramite infostealer

Gli utenti che scaricano il PoC dal repository dannoso riceveranno un eseguibile UPX-packed 'poc.exe'. Una volta eseguito, questo rilascia uno script PowerShell nella cartella %Temp% della vittima. Lo script crea un lavoro pianificato sul sistema compromesso, che esegue uno script codificato che recupera un terzo script da Pastebin. Questo payload finale raccoglie informazioni sul computer, elenchi di processi, elenchi di directory, indirizzo IP e informazioni sulla scheda di rete, nonché aggiornamenti installati, e li carica in formato archivio ZIP su un server FTP esterno utilizzando credenziali hardcoded. Chi fosse interessato può trovare un elenco degli indicatori di compromissione per questo attacco può essere trovato sul sito di Trend Micro.

Gli utenti di GitHub che si procurano exploit pubblici per la ricerca o i test devono prestare sempre molta attenzione. Idealmente, è bene fidarsi solo di aziende e ricercatori di sicurezza informatica con una buona reputazione. In passato, gli autori delle minacce hanno tentato di impersonare noti ricercatori di sicurezza, quindi è fondamentale anche convalidare l'autenticità del repository. Se possibile, è consigliato rivedere il codice prima di eseguirlo sul proprio sistema, caricare i binari su VirusTotal e saltare tutto ciò che sembra offuscato.