安全研究人员面临的新威胁：恶意利用网络共享的概念验证

关键要点

• 最近，一家安全公司发布的概念验证（PoC）被黑客恶意利用，暴露了安全研究人员的新风险。
• 黑客通过操控原始 PoC，将其转变为恶意版本，欺骗不知情的用户。
• 安全专家建议只从可靠的开源库下载内容，并保持警惕，特别是对于可执行文件。

一项最近的事件展示了公开发布的 PoC 如何被恶意利用，进而误导安全研究人员。一个声誉良好的安全公司分享的开源 PoC因被不法分子复制并篡改而成为了最新的网络攻击实例。

原始的 PoC 针对已知漏洞，旨在帮助学生、研究人员和 IT专业人员共享信息，以改善软件和增强安全防护。然而，互联网的开放性使得任何发布的信息都有可能被滥用。

— 以及安全的 — PoC漏洞，LDAPNightmare。这是 SafeBreach 为 Windows Lightweight Directory Access Protocol (LDAP) 在 1 月 3 日发布的。然而，Trend Micro 现在声称在 GitHub 上发现了该 PoC 的恶意版本。

在一次访谈中，SafeBreach 安全研究副总裁 Tomer Bar 强调，公司的 PoC 没有被破坏，而是被复制和篡改。原始的概念验证漏洞是在 SafeBreach 的官方 GitHub 网站上发布的。

“我们始终发布完整的开源代码，”他补充道，“以便人们可以验证其有效性并确保其不具恶意。”

“包含 PoC 的恶意代码库似乎是原创建者的一个分支，” “在这种情况下，原始的 Python 文件被一个名为 _poc：你在寻找合法的、基于研究的 PoC，结果却下载了一个看似合法的 POC，实际上却包含了可执行文件。”

他表示，威胁行为者越来越多地使用这一策略的原因是，因为这确实有效。为了防范这种情况，建议在隔离的计算机环境中测试概念验证。

“任何网络上的代码在确定安全之前，都应该被视为极其不安全，”Shipley 补充道。

并非新手法

使用 PoC 隐藏恶意软件或后门的手法并不新颖。例如，在 2023 年， 一个广泛传播的恶意 PoC，声称可以解决关键的 Linux 内核漏洞 CVE-2023-35829。而根据 2022 年 ，对 GitHub 托管的 PoC 进行检查的结果发现，近 2% 的 47,285 个代码库有恶意意图的迹象。“这一数据表明，GitHub 上分发的恶意 PoC的普遍存在令人担忧，”这项研究得出结论——这一发现是两年多前的。

去年秋天，[SonicWall 又发布了一份关于恶意 PoC 上升的报告](https://www.sonicwall