TL;DR

• 詐欺師はGitHubアカウントを複数用意して、偽PoCのリポジトリにスターを付与する自演行為をしている。
  　➡︎ スターがついているからといって、PoCを無闇に信用しないようにしてください。

はじめに

　日々、PoC in GitHub の RSS を眺めていますが、最近になって"偽PoCのリポジトリが増えてきている"気がしたので、原因を調べてみました。

ここで言う「偽PoC」の特徴は以下のようなものです。

• PoCと見せかけたマルウェア
• PoCはビットコインで販売（実際にPoCが提供されるかは不明）

　偽PoCについては以下をご参照ください。 Microsoft Exchange のゼロデイ脆弱性：ProxyNotShell の偽 PoC が販売されている – IoT OT Security News

偽PoC

偽PoCのリポジトリを見る

　下画像のようにリポジトリ名が「CVE-2024-21334-POC」と「CVE-2024-21334」 のPoCと見せかけた、SatoshiDisk というビットコイン支払サイトへの誘導があるリポジトリがあります。

　ひと目では脆弱性の説明があり問題ないリポジトリのように見えます。

　Readme の下まで見てみると結局、PoCの記載は無く、SatoshiDisk へのリンクがあります。

　アクセスするとビットコイン支払えばPoCを提供するような記載があります。
（※PoCが提供される保証は無い）

偽PoCリポジトリに付与されたスター数を見る

　PoCリポジトリの信頼度はスター数によって変わるかと思いますので、このリポジトリに付けられているスターを見てみます。

　スター数は 9個 付いており、少なくとも9人が良いと判断したPoCだと信用してしまいます。
（脆弱性が公開されて日が経っていないのであれば、尚更信用すると思います。）

　ここに罠があります。このスターを付けた9つのアカウントは悪意ある１人よって作成されたアカウントとなっています。

偽PoCにスターを付与したアカウントを見る

　偽PoCにスターを付けたアカウントをもう少し詳しく見てみます。

　各アカウントで偽PoCのリポジトリを保持しており、相互でスターを付与しあっていることが確認できます。

■ アカウント１
■ アカウント２
■ アカウント３
■ アカウント４
■ アカウント５
■ アカウント６
■ アカウント７
■ アカウント８
■ アカウント９

詐欺アカウントを通報

これらのアカウントは通報します。通報は非常に簡単ですので詐欺アカウントを見かけた方は通報することをオススメします。

このような詐欺アカウントは詐欺PoCのリポジトリしか保持していないことが多く、通報後すぐに削除されることが多いです。

通報対象アカウントのトップ

偽PoCリポジトリのURLは忘れずに記載

通報完了

まとめ

• PoCの信ぴょう性はスターの有無だけで判断しない。
  • 詐欺アカウントはそこも見越して複数アカウントを作成し、自演で複数のスターを付けている。
• PoC実行する際は「PoCを作成したアカウントの新旧」の確認も必須。（今回紹介した事例はビットコイン支払いの誘導ですが）
• 可能であれはソースコードの確認もする。