本月初资安业者SafeBreach针对微软12月修补的CVE-2024-49113公布细节及概念验证（PoC）代码，此漏洞为高风险层级，涉及LDAP服务，攻击者有机会导致Windows服务器服务中断，有鉴于这项漏洞带来的冲击相当严重，研究人员将这项漏洞命名为「LDAPNightmare」，如今有人假借这项漏洞的名义发动攻击。

资安业者趋势科技提出警告，他们发现有人在GitHub假借提供LDAPNightmare的概念验证代码，意图对资安研究人员散布窃资软件。根据该公司的调查，这些恶意存储库多半是SafeBreach存储库的分叉（fork），攻击者将原本的Python文件更换为以UPX打包的运行文件poc.exe，意图引诱研究人员下载。

一旦用户下载并运行，电脑就下载PowerShell脚本，而该脚本会创建工作调度，其功能是运行一段内容经过Base64编码处理的脚本。

在工作调度运行并解开脚本，电脑又会从文本文件共用服务Pastebin下载另一个脚本，收集受害电脑的IP位址、系统信息、处理程序列表、特定文件夹文件内容、网络卡，以及已安装更新文件等信息，打包成ZIP档发送到FTP服务器，以便攻击者进一步运用。

对此，趋势科技提醒资安研究人员，若要研究概念验证代码，应该要从情报最原始揭露的来源取得相关数据，而非通过分叉的存储库。这些来路不明的GitHub之所以会藏污纳垢，就是攻击者发现有些资安人员并未仔细检查这类情报来源是否为第一手分享。