Repozytorium GitHub, które reklamowało narzędzie WordPress do publikowania postów w systemie zarządzania treścią (CMS) online, zostało usunięte, a szacuje się, że umożliwiło ono wyciek ponad 390 000 danych logowania.
Złośliwa aktywność jest częścią szerszej kampanii ataków przeprowadzanej przez aktora zagrożeń, nazwanego MUT-1244 (gdzie MUT oznacza „tajemnicze nieprzypisane zagrożenie”) przez Datadog Security Labs, która obejmuje phishing i kilka zainfekowanych repozytoriów GitHub hostujących kod proof-of-concept (PoC) do wykorzystywania znanych luk w zabezpieczeniach.
„Ofiary są uważane za aktorów ofensywnych – w tym pentesterów i badaczy bezpieczeństwa, a także złośliwych aktorów zagrożeń – i miały wykradzione wrażliwe dane, takie jak prywatne klucze SSH i klucze dostępu AWS,” powiedzieli badacze Christophe Tafani-Dereeper, Matt Muir i Adrian Korn w analizie udostępnionej The Hacker News.
Nie jest zaskoczeniem, że badacze bezpieczeństwa byli atrakcyjnym celem dla aktorów zagrożeń, w tym grup państwowych z Korei Północnej, ponieważ kompromitacja ich systemów mogłaby dostarczyć informacji o możliwych exploitach związanych z nieujawnionymi lukami w zabezpieczeniach, nad którymi mogą pracować, co mogłoby zostać wykorzystane do przeprowadzenia dalszych ataków.
W ostatnich latach pojawił się trend, w którym atakujący próbują wykorzystać ujawnienia luk w zabezpieczeniach do tworzenia repozytoriów GitHub przy użyciu fałszywych profili, które twierdzą, że hostują PoC dla tych luk, ale w rzeczywistości są zaprojektowane do kradzieży danych, a nawet żądania zapłaty w zamian za exploit.
Kampanie prowadzone przez MUT-1244 obejmują nie tylko wykorzystanie zainfekowanych repozytoriów GitHub, ale także e-maile phishingowe, które działają jako kanał do dostarczenia ładunku drugiego etapu zdolnego do zainstalowania koparki kryptowalut, a także kradzieży informacji o systemie, prywatnych kluczy SSH, zmiennych środowiskowych i zawartości związanej z określonymi folderami (np. ~/.aws) do File.io.
Jedno z takich repozytoriów to „github[.]com/hpc20235/yawpp,” które twierdziło, że jest „Yet Another WordPress Poster.” Przed jego usunięciem przez GitHub zawierało dwa skrypty: Jeden do weryfikacji danych logowania do WordPressa i drugi do tworzenia postów za pomocą API XML-RPC.
Ale narzędzie zawierało również złośliwy kod w postaci złośliwej zależności npm, pakietu o nazwie @0xengine/xmlrpc, który wdrażał to samo złośliwe oprogramowanie. Został on pierwotnie opublikowany w npm w październiku 2023 roku jako serwer i klient XML-RPC oparty na JavaScript dla Node.js. Biblioteka nie jest już dostępna do pobrania.
Warto zauważyć, że firma zajmująca się cyberbezpieczeństwem Checkmarx ujawniła w zeszłym miesiącu, że pakiet npm pozostawał aktywny przez ponad rok, przyciągając około 1 790 pobrań.
Projekt GitHub yawpp miał umożliwić wyciek ponad 390 000 danych logowania, prawdopodobnie do kont WordPress, do konta Dropbox kontrolowanego przez atakującego poprzez kompromitację niezwiązanych aktorów zagrożeń, którzy mieli dostęp do tych danych logowania w nielegalny sposób.
Datadog powiedział The Hacker News, że wykorzystał własną telemetrię i udostępnianie informacji o zagrożeniach z zewnętrznym dostawcą informacji wywiadowczych, aby określić liczbę ujawnionych danych logowania.
Inna metoda dostarczania ładunku polega na wysyłaniu e-maili phishingowych do akademików, w których są oni oszukiwani, aby odwiedzili linki, które instruują ich, aby uruchomili terminal i skopiowali-wkleili polecenie powłoki w celu wykonania rzekomej aktualizacji jądra. Odkrycie to oznacza pierwszy raz, gdy atak w stylu ClickFix został udokumentowany przeciwko systemom Linux.
„Drugi początkowy wektor dostępu, który wykorzystuje MUT-1244, to zestaw złośliwych użytkowników GitHub publikujących fałszywe proof-of-concepts dla CVE,” wyjaśnili badacze. „Większość z nich została stworzona w październiku lub listopadzie [2024], nie mają żadnej legalnej aktywności i mają zdjęcie profilowe wygenerowane przez AI.”
Niektóre z tych fałszywych repozytoriów PoC zostały wcześniej podkreślone przez Alexa Kaganovicha, globalnego szefa zespołu ofensywnego bezpieczeństwa red team w Colgate-Palmolive, w połowie października 2024 roku. Ale w interesującym zwrocie, złośliwe oprogramowanie drugiego etapu jest dostarczane na cztery różne sposoby:
- Zainfekowany plik konfiguracyjny kompilacji
- Złośliwy ładunek osadzony w pliku PDF
- Użycie droppera Python
- Włączenie złośliwego pakietu npm „0xengine/meow”
„MUT-1244 był w stanie skompromitować systemy dziesiątek ofiar, głównie członków zespołów red team, badaczy bezpieczeństwa i każdego, kto jest zainteresowany pobieraniem kodu PoC exploitów,” powiedzieli badacze. „To pozwoliło MUT-1244 uzyskać dostęp do wrażliwych informacji, w tym prywatnych kluczy SSH, danych uwierzytelniających AWS i historii poleceń.”
