Een nu verwijderde GitHub-repository die reclame maakte voor een WordPress-tool om berichten op het online contentmanagementsysteem (CMS) te publiceren, heeft naar schatting de exfiltratie van meer dan 390.000 inloggegevens mogelijk gemaakt.
De kwaadaardige activiteit maakt deel uit van een bredere aanvalscampagne die wordt ondernomen door een bedreigingsacteur, genaamd MUT-1244 (waarbij MUT verwijst naar “mysterieuze, niet-toegeschreven dreiging”) door Datadog Security Labs, waarbij phishing en verschillende getrojaniseerde GitHub-repository’s worden gebruikt die proof-of-concept hosten. (PoC)-code voor het misbruiken van bekende beveiligingsfouten.
“Er wordt aangenomen dat de slachtoffers offensieve actoren zijn – waaronder pentesters en beveiligingsonderzoekers, maar ook kwaadaardige dreigingsactoren – en dat gevoelige gegevens zoals SSH-privésleutels en AWS-toegangssleutels zijn geëxfiltreerd”, onderzoekers Christophe Tafani-Dereeper, Matt Muir en Adrian Korn zei in een analyse gedeeld met The Hacker News.
Het is geen verrassing dat veiligheidsonderzoekers een aantrekkelijk doelwit zijn geweest voor dreigingsactoren, waaronder natiestaatgroepen uit Noord-Korea, omdat het compromitteren van hun systemen informatie zou kunnen opleveren over mogelijke exploits die verband houden met niet bekendgemaakte veiligheidslekken waaraan ze mogelijk werken, die vervolgens zou kunnen worden benut. verdere aanvallen uit te voeren.
De afgelopen jaren is er een trend ontstaan waarbij aanvallers proberen misbruik te maken van openbaarmakingen van kwetsbaarheden door GitHub-repository’s te creëren met behulp van valse profielen die beweren PoC’s te hosten vanwege de fouten, maar die in werkelijkheid zijn ontworpen om gegevensdiefstal uit te voeren en zelfs betaling te eisen in ruil voor de exploit.
De campagnes van MUT-1244 omvatten niet alleen het gebruik van getrojaniseerde GitHub-opslagplaatsen, maar ook phishing-e-mails, die beide fungeren als kanaal om een tweede fase-payload af te leveren die een cryptocurrency-mijnwerker kan laten vallen, evenals het stelen van systeeminformatie, privé- SSH-sleutels, omgevingsvariabelen en inhoud die is gekoppeld aan specifieke mappen (bijvoorbeeld ~/.aws) naar File.io.
Eén zo’n repository was “github(.)com/hpc20235/yawpp”, die beweerde “Yet Another WordPress Poster” te zijn. Voordat het door GitHub werd verwijderd, bevatte het twee scripts: één om WordPress-inloggegevens te valideren en een ander om berichten te maken met behulp van de XML-RPC API.
Maar de tool bevatte ook kwaadaardige code in de vorm van een malafide npm-afhankelijkheid, een pakket met de naam @0xengine/xmlrpc dat dezelfde malware implementeerde. Het werd oorspronkelijk in oktober 2023 gepubliceerd op npm als een JavaScript-gebaseerde XML-RPC-server en -client voor Node.js. De bibliotheek kan niet langer worden gedownload.
Het is vermeldenswaard dat cyberbeveiligingsbedrijf Checkmarx vorige maand onthulde dat het npm-pakket meer dan een jaar actief bleef en ongeveer 1.790 downloads trok.
Het yawpp GitHub-project zou de exfiltratie van meer dan 390.000 inloggegevens, waarschijnlijk voor WordPress-accounts, naar een door een aanvaller gecontroleerd Dropbox-account mogelijk hebben gemaakt door niet-gerelateerde bedreigingsactoren te compromitteren die op illegale wijze toegang hadden tot deze inloggegevens.
Een andere methode die wordt gebruikt om de payload te bezorgen, is het sturen van phishing-e-mails naar academici waarin ze worden misleid om links te bezoeken die hen instrueren de terminal te starten en een shell-commando te kopiëren en te plakken om een zogenaamde kernel-upgrade uit te voeren. De ontdekking markeert de eerste keer dat een ClickFix-achtige aanval op Linux-systemen is gedocumenteerd.
“De tweede initiële toegangsvector die MUT-1244 gebruikt, is een groep kwaadwillende GitHub-gebruikers die valse proof-of-concepts voor CVE’s publiceren”, legden de onderzoekers uit. “De meeste van hen zijn gemaakt in oktober of november (2024), hebben geen legitieme activiteiten en hebben een door AI gegenereerde profielfoto.”
Sommige van deze nep-PoC-opslagplaatsen werden medio oktober 2024 eerder onder de aandacht gebracht door Alex Kaganovich, Colgate-Palmolive’s mondiale hoofd van het offensieve beveiligingsteam. Maar in een interessante wending passeert de tweede fase malware op vier verschillende manieren:
- Backdoored configuratiecompilatiebestand
- Schadelijke lading ingebed in een PDF-bestand
- Met behulp van een Python-druppelaar
- Opname van een kwaadaardig npm-pakket “0xengine/meow”
“MUT-1244 was in staat het systeem van tientallen slachtoffers in gevaar te brengen, voornamelijk red teamers, beveiligingsonderzoekers en iedereen die geïnteresseerd was in het downloaden van PoC-exploitcode”, aldus de onderzoekers. “Hierdoor kon MUT-1244 toegang krijgen tot gevoelige informatie, waaronder privé SSH-sleutels, AWS-inloggegevens en opdrachtgeschiedenis.”