GitHub 上的一个针对 CVE-2024-49113（又名 “LDAPNightmare”）的欺骗性概念验证（PoC）漏洞利用程序会让用户感染信息窃取恶意软件，从而将敏感数据外泄到外部 FTP 服务器。

这种策略并不新奇，因为在 GitHub 上已经有多个恶意工具伪装成 PoC 漏洞利用的记录案例。

然而，趋势科技发现的这一案例突出表明，威胁行为者仍在使用这种策略诱骗毫无戒心的用户感染恶意软件。

GitHub 上的恶意软件库
来源：Trend Micro 趋势科技

欺骗性利用

趋势科技报告称，恶意 GitHub 仓库包含一个似乎是从 SafeBreach Labs 于 2025 年 1 月 1 日发布的 CVE-2024-49113 合法 PoC 中分叉出来的项目。

该漏洞是影响 Windows 轻量级目录访问协议（LDAP）的两个漏洞之一，微软在 2024 年 12 月的 “星期二补丁 ”中对其进行了修复，另一个漏洞是严重的远程代码执行（RCE）问题，被追踪为 CVE-2024-49112。

SafeBreach最初发布的关于PoC的博文错误地提到了CVE-2024-49112，而他们的PoC是针对CVE-2024-49113的，后者是一个严重性较低的拒绝服务漏洞。

这个错误即使后来得到了纠正，也引起了更多人对 LDAPNightmare 及其潜在攻击的兴趣和讨论，这可能正是威胁行为者试图利用的。

从恶意软件库下载 PoC 的用户会得到一个包含 UPX 的可执行文件 “poc.exe”，执行后会在受害者的 %Temp% 文件夹中投放一个 PowerShell 脚本。

该脚本会在被入侵系统上创建一个计划任务，执行一个从 Pastebin 获取第三个脚本的编码脚本。

这个最终有效载荷会收集计算机信息、进程列表、目录列表、IP 地址和网络适配器信息以及已安装的更新，并使用硬编码凭据将它们以 ZIP 压缩包的形式上传到外部 FTP 服务器。

从受感染系统中窃取数据
来源：趋势科技

该攻击的危害指标列表可在此处找到。

GitHub 用户为研究或测试而获取公开漏洞时需要谨慎，最好只信任声誉良好的网络安全公司和研究人员。

威胁行为者过去曾试图假冒知名安全研究人员，因此验证资源库的真实性也至关重要。

如果可能，在系统上执行代码之前先审查代码，将二进制文件上传到 VirusTotal，并跳过任何看起来被混淆的代码。