【安全资讯】GitHub上的假LDAPNightmware漏洞利用传播信息窃取恶意软件

概要：

近期，网络安全公司Trend Micro发现GitHub上出现了一种伪造的CVE-2024-49113（即“LDAPNightmare”）漏洞利用工具，该工具感染用户并窃取敏感数据。此事件再次提醒用户在下载和使用公开漏洞利用时需保持警惕，尤其是在GitHub等平台上。

主要内容：

Trend Micro报告称，恶意的GitHub仓库伪装成SafeBreach Labs发布的合法漏洞利用工具，试图利用用户对LDAPNightmare的关注。CVE-2024-49113是影响Windows轻量级目录访问协议（LDAP）的两个漏洞之一，微软在2024年12月的补丁更新中修复了此漏洞。恶意仓库中的代码在用户下载后，会执行一个UPX打包的可执行文件'poc.exe'，该文件会在受害者的%Temp%文件夹中放置一个PowerShell脚本。

该脚本创建一个计划任务，执行一个编码脚本，从Pastebin获取第三个脚本。最终的有效载荷会收集计算机信息、进程列表、目录列表、IP地址和网络适配器信息，并将这些信息以ZIP文件的形式上传到外部FTP服务器，使用的是硬编码的凭据。

此事件突显了网络攻击者利用用户对新漏洞的关注来传播恶意软件的趋势。用户在获取公开漏洞利用工具时，需谨慎选择来源，最好只信任信誉良好的网络安全公司和研究人员，并在执行代码前进行代码审查或使用VirusTotal进行检测。