Se estima que un repositorio de GitHub ahora eliminado que anunciaba una aparejo de WordPress para informar publicaciones en el sistema de mandato de contenidos (CMS) en ringlera permitió la filtración de más de 390.000 credenciales.
La actividad maliciosa es parte de una campaña de ataque más amplia emprendida por un actor de amenazas, denominado MUT-1244 (donde MUT se refiere a «amenaza misteriosa no atribuida») por Datadog Security Labs, que involucra phishing y varios repositorios troyanizados de GitHub que albergan pruebas de concepto. (PoC) para explotar fallos de seguridad conocidos.
«Se cree que las víctimas son actores ofensivos, incluidos pentesters e investigadores de seguridad, así como actores de amenazas maliciosas, y se les exfiltró información confidencial como claves privadas SSH y claves de paso de AWS», investigadores Christophe Tafani-Dereeper, Matt Muir y Adrian Korn. dijo en un exploración compartido con The Hacker News.
No sorprende que los investigadores de seguridad hayan sido un objetivo atractivo para los actores de amenazas, incluidos los grupos de estados-nación de Corea del Septentrión, ya que comprometer sus sistemas podría suscitar información sobre posibles vulnerabilidades relacionadas con fallas de seguridad no reveladas en las que podrían estar trabajando, que luego podrían aprovecharse. para organizar nuevos ataques.
En los últimos abriles, ha surgido una tendencia en la que los atacantes intentan explotar las revelaciones de vulnerabilidades para crear repositorios de GitHub utilizando perfiles falsos que afirman conservar PoC para las fallas, pero que en existencia están diseñados para padecer a lugar el robo de datos e incluso exigir un suscripción a cambio del exploit.
Las campañas emprendidas por MUT-1244 no sólo implican el uso de repositorios troyanizados de GitHub sino además correos electrónicos de phishing, los cuales actúan como un conducto para entregar una carga útil de segunda etapa capaz de eliminar un minero de criptomonedas, así como robar información privada del sistema. Claves SSH, variables de entorno y contenidos asociados con carpetas específicas (por ejemplo, ~/.aws) a File.io.
Uno de esos repositorios era «github(.)com/hpc20235/yawpp», que decía ser «Otro póster más de WordPress». Antiguamente de que GitHub lo eliminara, contenía dos scripts: uno para validar las credenciales de WordPress y otro para crear publicaciones utilizando la API XML-RPC.
Pero la aparejo además albergaba código solapado en forma de una dependencia npm maliciosa, un paquete llamado @0xengine/xmlrpc que implementaba el mismo malware. Se publicó originalmente en npm en octubre de 2023 como un servidor y cliente XML-RPC basado en JavaScript para Node.js. La biblioteca ya no está habitable para descargar.
Vale la pena señalar que la empresa de ciberseguridad Checkmarx reveló el mes pasado que el paquete npm permaneció activo durante más de un año, atrayendo aproximadamente de 1.790 descargas.
Se dice que el tesina yawpp GitHub permitió la filtración de más de 390.000 credenciales, probablemente para cuentas de WordPress, a una cuenta de Dropbox controlada por un atacante, comprometiendo a actores de amenazas no relacionados que tenían paso a estas credenciales a través de medios ilícitos.
Datadog le dijo a The Hacker News que aprovechó su propia telemetría y el intercambio de inteligencia sobre amenazas con un proveedor de inteligencia extranjero para determinar el recuento de credenciales expuestas.
Otro método utilizado para entregar la carga útil implica despachar correos electrónicos de phishing a académicos en los que se les engaña para que visiten enlaces que les indican que inicien la terminal y copie y pegue un comando de shell para realizar una supuesta modernización del kernel. El descubrimiento marca la primera vez que se documenta un ataque estilo ClickFix contra sistemas Linux.
«El segundo vector de paso original que utiliza MUT-1244 es un conjunto de usuarios maliciosos de GitHub que publican pruebas de conceptos falsas para CVE», explicaron los investigadores. «La mayoría de ellos se crearon en octubre o noviembre (2024), no tienen actividad legítima y tienen una imagen de perfil generada por IA».
Algunos de estos repositorios PoC falsos fueron destacados previamente por Alex Kaganovich, superior completo del equipo rojo de seguridad ataque de Colgate-Palmolive, a mediados de octubre de 2024. Pero en un giramiento interesante, el malware de la segunda etapa se presenta de cuatro maneras diferentes:
- Archivo de compilación de configuración con puerta trasera
- Carga maliciosa incrustada en un archivo PDF
- Usando un cuentagotas de Python
- Inclusión de un paquete npm solapado «0xengine/meow»
«MUT-1244 pudo comprometer el sistema de docenas de víctimas, en su mayoría miembros del equipo rojo, investigadores de seguridad y cualquier persona interesada en descargar el código de explotación PoC», dijeron los investigadores. «Esto permitió a MUT-1244 obtener paso a información confidencial, incluidas claves SSH privadas, credenciales de AWS e historial de comandos».