Cybersecurity

Πρόσεχε τα fake PoC repositories: πώς κλέβουν κωδικούς και cookies

Κακόβουλα repositories που υπόσχονται “έτοιμο exploit” κυκλοφορούν σαν δόλωμα σε GitHub και Linux/Windows περιβάλλοντα. Αν κατεβάζεις PoC, θέλει διπλό έλεγχο πριν εκτελέσεις οτιδήποτε.

Αν κατεβάζεις proof-of-concept κώδικα από GitHub για να δοκιμάσεις μια νέα ευπάθεια, έχεις πλέον έναν λόγο να είσαι πολύ πιο καχύποπτος. Οι επιτιθέμενοι βάζουν κακόβουλο trojan μέσα σε δήθεν PoC repositories, με στόχο όχι τον απλό χρήστη αλλά τους ανθρώπους που ανοίγουν πρώτοι τέτοια αρχεία: vulnerability researchers, pentesters, developers και μικρές ομάδες IT που δοκιμάζουν exploits για άμυνα ή έρευνα.

Το κόλπο είναι απλό και επικίνδυνο. Το repo μοιάζει χρήσιμο, δείχνει “φρέσκο”, αναφέρει γνωστό CVE και υπόσχεται γρήγορο test. Μόλις το τρέξεις, ο κώδικας μπορεί να τραβήξει αποθηκευμένους κωδικούς, browser cookies, αρχεία και άλλα στοιχεία από το σύστημα. Σε αρκετές περιπτώσεις το πραγματικό πρόβλημα δεν είναι το exploit που ψάχνεις, αλλά ο κώδικας που κρύβεται μέσα στο ίδιο το δείγμα.

Το δόλωμα δεν είναι πια μόνο για αρχάριους

Η απειλή αυτή δεν χτυπά μόνο όσους ψάχνουν “σπασμένα” εργαλεία ή τυχαία scripts. Στοχεύει ανθρώπους που έχουν καλές συνήθειες, αλλά δουλεύουν με πίεση: θέλουν να αναπαράγουν γρήγορα ένα exploit, να επιβεβαιώσουν αν ένα σύστημα είναι ευάλωτο ή να γράψουν advisory για ένα νέο CVE. Εκεί ακριβώς βασίζονται οι επιτιθέμενοι. Εκμεταλλεύονται την εμπιστοσύνη που έχει ένα GitHub repo και τη βιασύνη που φέρνει η έρευνα ασφαλείας.

Στην πράξη, το ρίσκο δεν περιορίζεται στον ερευνητή. Αν το ίδιο laptop έχει πρόσβαση σε εταιρικά GitHub tokens, email, VPN, password manager ή cloud dashboards, ένας μολυσμένος κώδικας μπορεί να ανοίξει δρόμο και προς επαγγελματικούς λογαριασμούς. Για μικρή επιχείρηση, αυτό σημαίνει πιθανό χακάρισμα σε λογαριασμούς διαχείρισης, backup, CRM ή hosting χωρίς να φανεί αμέσως.

Πριν τρέξεις PoC, κοίτα αυτά τα 6 σημάδια

Αν κάνεις security testing ή απλώς κατεβάζεις δείγματα για να μάθεις, βάλε το repo στο μικροσκόπιο πριν αγγίξεις το run button:

  • Ασυνήθιστο ιστορικό: νέο account, λίγα commits, πολλά stars σε μικρό χρόνο ή “βολικά” σχόλια.
  • Python ή PowerShell που κάνει πολλά παραπάνω από exploit: πρόσβαση σε αρχεία, browsers, clipboard, system info ή network calls προς άγνωστα domains.
  • Minified ή μπερδεμένος κώδικας: ειδικά όταν υποτίθεται πως είναι απλό PoC.
  • Απαίτηση για admin δικαιώματα χωρίς λόγο: πολλές φορές είναι κόκκινη σημαία.
  • Συνημμένα binaries ή zip αρχεία: όχι μόνο source code, αλλά και έτοιμα εκτελέσιμα μέσα στο ίδιο repo.
  • Παράξενα instructions: αν ζητά απενεργοποίηση antivirus, Defender, Gatekeeper ή “run as trusted”, σταμάτα.

Ο πιο ασφαλής κανόνας είναι βαρετός αλλά σωστός: μην τρέχεις άγνωστο exploit στο βασικό σου σύστημα. Κάν’ το μόνο σε απομονωμένο VM, χωρίς προσωπικούς λογαριασμούς, χωρίς synced browser profile και χωρίς πρόσβαση σε εταιρικά credentials. Αν μπορείς, δούλεψε με throwaway προφίλ και καθαρό snapshot που γυρνάς πίσω αμέσως μετά το test.

Πώς προστατεύεις κωδικούς, cookies και λογαριασμούς μετά από λάθος άνοιγμα

Αν έχεις ήδη εκτελέσει ύποπτο PoC, μη μείνεις στο “μάλλον δεν έγινε τίποτα”. Κάνε άμεσα αυτά τα βήματα:

  1. Αποσύνδεσε το μηχάνημα από το δίκτυο αν βλέπεις ύποπτη δραστηριότητα.
  2. Άλλαξε κωδικούς από καθαρή συσκευή, ξεκινώντας από email, password manager, GitHub, Microsoft/Google account και VPN.
  3. Ακύρωσε sessions και tokens σε όλες τις βασικές υπηρεσίες σου.
  4. Έλεγξε browser cookies και saved passwords, ειδικά σε Chrome, Edge και Firefox profiles που είχαν συγχρονισμό.
  5. Κάνε πλήρη σάρωση με αξιόπιστο antivirus/EDR και έλεγξε startup items, scheduled tasks και πρόσφατα downloads.
  6. Αν πρόκειται για εταιρική συσκευή, ειδοποίησε άμεσα τον υπεύθυνο IT ή το security contact. Μην προσπαθήσεις να το “καθαρίσεις σιωπηλά”.

Για επιχειρήσεις, αξίζει να υπάρχει ξεκάθαρη πολιτική για εργαλεία έρευνας: ξεχωριστό test VM, περιορισμένα δικαιώματα, υποχρεωτικό 2FA σε όλα τα critical accounts και browser profiles που δεν κρατούν προσωπικά δεδομένα. Αν χρησιμοποιείς passkeys, κράτα τις συσκευές που τις φιλοξενούν υπό αυστηρό έλεγχο. Ένα μολυσμένο endpoint δεν θέλεις να γίνει κλειδί για όλα τα άλλα.

Οι ίδιες τεχνικές εμφανίζονται και σε phishing PDFs ή supply-chain tricks

Το μοτίβο δεν είναι μοναδικό. Την ίδια περίοδο βλέπουμε καμπάνιες που ανοίγουν με δήθεν “χαλασμένα” PDFs, στοχεύουν συγκεκριμένες χώρες και κρύβουν το payload μέσα σε εικόνες ή αρχεία που μοιάζουν αθώα. Άλλες επιθέσεις χτυπούν υποδομές ανάπτυξης, όπως εργαλεία για Kubernetes και deployment pipelines, εκεί όπου ένα μικρό κενό μπορεί να δώσει πρόσβαση σε ολόκληρο περιβάλλον.

Το κοινό νήμα είναι ότι οι επιτιθέμενοι δεν ψάχνουν πάντα τον πιο αδύναμο χρήστη. Ψάχνουν τον πιο χρήσιμο λογαριασμό. Ένα email, ένα GitHub token, ένα browser profile με εταιρική πρόσβαση ή ένα repo που φαίνεται “εργαλείο δουλειάς” μπορεί να έχει μεγαλύτερη αξία από έναν τυχαίο κωδικό.

Αν δουλεύεις σε μικρή επιχείρηση στην Ελλάδα, αυτό μεταφράζεται σε πρακτική υγιεινή: ξεχωριστά προφίλ στο browser, τακτικό rotation σε σημαντικούς κωδικούς, 2FA παντού, backups που δεν είναι μόνιμα συνδεδεμένα και κανόνας ότι κανείς δεν τρέχει “γρήγορα ένα script” σε production laptop μόνο και μόνο επειδή είναι χρήσιμο.

Τεκμηρίωση