专钓安全人员，MUT-1244窃取39万wordpress凭证

图片

一个现已被删除的 GitHub 仓库曾传播一种用于向在线内容管理系统（CMS）发布帖子的 WordPress 工具，据估计，该仓库使得超过 39 万个凭证被窃取。

这种恶意活动是一个被称为 MUT-1244（其中 MUT 指“神秘的未归因威胁”）的黑客发起的更广泛攻击活动的一部分，Datadog 安全实验室将其命名为 MUT-1244，该活动涉及网络钓鱼和几个被植入木马的 GitHub 仓库，这些仓库托管着用于利用已知安全漏洞的概念验证（PoC）代码。 

“受害者包括了渗透测试人员和安全研究人员，以及其它一些黑客。他们诸如 SSH 私钥和 AWS 访问密钥等敏感数据被窃取，”研究人员克里斯托夫·塔法尼-德雷佩尔、马特·缪尔和阿德里安·科恩在与《黑客新闻》分享的分析中表示。

安全研究人员一直是攻击者的重点关注目标，包括来自朝鲜的国家支持的组织，这并不奇怪，因为破坏他们的系统可能会产生关于他们可能正在研究的未公开安全漏洞的可能利用信息，这些信息随后可以被利用来发动进一步的攻击。 

近年来，出现了一种趋势，攻击者试图利用漏洞披露，使用虚假的个人资料创建 GitHub 仓库，声称托管漏洞的 PoC，但实际上是为了进行数据窃取，甚至要求支付以换取EXP。MUT-1244 发起的活动不仅涉及利用被植入木马的 GitHub 仓库，还包括网络钓鱼邮件，这两者都充当了传递第二阶段有效载荷的渠道，能够部署加密货币挖掘器，以及窃取系统信息、私有的 SSH 密钥、环境变量和与特定文件夹（例如，发送~/.aws）相关的内容到 File.io。 

其中一个这样的仓库是“github[.]com/hpc20235/yawpp”，它声称是“又一个 WordPress 发布器”。在被 GitHub 下架之前，它包含两个脚本：一个用于验证 WordPress 凭证，另一个用于使用 XML-RPC API 创建帖子。

图片

但该工具还以恶意的 npm 依赖项的形式隐藏了恶意代码，一个名为@0xengine/xmlrpc 的包部署了相同的恶意软件。它最初于 2023 年 10 月作为基于 JavaScript 的用于 Node.js 的 XML-RPC 服务器和客户端发布到 npm。该库不再可供下载。 

值得注意的是，网络安全公司 Checkmarx 上个月透露，这个 npm 包在一年多的时间里一直处于活跃状态，吸引了大约 1790 次下载。 

据说 yawpp GitHub 项目通过此种方式，使得超过 39 万个可能是 WordPress 账户的凭证被窃取到攻击者控制的 Dropbox 账户。 

Datadog 告诉《黑客新闻》，它利用自己的遥测和与第三方情报提供商共享的威胁情报来确定暴露的凭证数量。

另一种用于传递有效载荷的方法包括向学者发送网络钓鱼邮件，他们被欺骗访问链接，这些链接指示他们启动终端并复制粘贴一个 shell 命令以执行所谓的内核升级。这一发现标志着首次有针对 Linux 系统的 ClickFix 风格的攻击被记录下来。

“MUT-1244 使用的第二个攻击方式是一组恶意的 GitHub 用户发布针对 CVE 的虚假POC，”研究人员解释说。“它们中的大多数是在 2024 年 10 月或 11 月创建的，没有合法活动，并且有一个由人工智能生成的个人资料图片。” 

其中一些虚假的 PoC 仓库在 2024 年 10 月中旬曾被高露洁棕榄公司的全球进攻性安全红队负责人亚历克斯·卡加诺维奇提到过。但有趣的是，第二阶段恶意软件通过四种不同的方式传播—— 

• 被植入后门的配置编译文件 
• 嵌入在 PDF 文件中的恶意有效载荷 
• 使用 Python 投放器 
• 包含恶意的 npm 包“0xengine/meow” 

“MUT-1244 攻击了大量安全从业人员，主要是红队成员、安全研究人员以及任何对下载 PoC 漏洞利用代码感兴趣的人，”研究人员说。“这使得 MUT-1244 能够访问敏感信息，包括私有的 SSH 密钥、AWS 凭证和命令历史。”

来源：thehackernews