Hơn 390.000 thông tin đăng nhập WordPress bị đánh cắp thông qua lỗ hổng PoC lưu trữ GitHub Repository độc hại

Hơn 390.000 thông tin đăng nhập WordPress bị đánh cắp thông qua lỗ hổng PoC lưu trữ GitHub Repository độc hại

Một kho lưu trữ GitHub hiện đã bị xóa, nơi quảng cáo một công cụ WordPress để xuất bản bài đăng lên hệ thống quản lý nội dung trực tuyến (CMS) được ước tính đã cho phép đánh cắp hơn 390.000 thông tin đăng nhập.

Hơn 390.000 thông tin đăng nhập WordPress bị đánh cắp thông qua lỗ hổng PoC lưu trữ GitHub Repository độc hại

Hoạt động độc hại này là một phần của chiến dịch tấn công rộng hơn do một tác nhân đe dọa thực hiện, được gọi là MUT-1244 (trong đó MUT đề cập đến "mối đe dọa bí ẩn không xác định") của Datadog Security Labs, bao gồm lừa đảo và một số kho lưu trữ GitHub bị trojan hóa lưu trữ mã bằng chứng khái niệm (PoC) để khai thác các lỗ hổng bảo mật đã biết.

"Nạn nhân được cho là những tác nhân tấn công - bao gồm cả những người kiểm tra thâm nhập và các nhà nghiên cứu bảo mật, cũng như những tác nhân đe dọa độc hại - và đã đánh cắp dữ liệu nhạy cảm như khóa riêng SSH và khóa truy cập AWS", các nhà nghiên cứu Christophe Tafani-Dereeper, Matt Muir và Adrian Korn cho biết trong một phân tích được chia sẻ với The Hacker News.

Không có gì ngạc nhiên khi các nhà nghiên cứu bảo mật trở thành mục tiêu hấp dẫn đối với các tác nhân đe dọa, bao gồm các nhóm quốc gia từ Triều Tiên, vì việc xâm phạm hệ thống của họ có thể cung cấp thông tin về các lỗ hổng bảo mật chưa được tiết lộ mà họ có thể đang xử lý, sau đó có thể được sử dụng để thực hiện các cuộc tấn công tiếp theo.

Trong những năm gần đây, đã xuất hiện một xu hướng mà những kẻ tấn công cố gắng tận dụng các tiết lộ về lỗ hổng để tạo kho lưu trữ GitHub bằng các hồ sơ giả mạo tuyên bố lưu trữ PoC cho các lỗ hổng nhưng thực tế được thiết kế để thực hiện hành vi đánh cắp dữ liệu và thậm chí yêu cầu thanh toán để đổi lấy việc khai thác.

Các chiến dịch do MUT-1244 thực hiện không chỉ liên quan đến việc sử dụng các kho lưu trữ GitHub đã bị trojan hóa mà còn cả email lừa đảo, cả hai đều hoạt động như một kênh để phân phối tải trọng giai đoạn thứ hai có khả năng thả một trình khai thác tiền điện tử, cũng như đánh cắp thông tin hệ thống, khóa SSH riêng tư, biến môi trường và nội dung liên quan đến các thư mục cụ thể (ví dụ: ~/.aws) đến File.io.

Một kho lưu trữ như vậy là "github[.]com/hpc20235/yawpp", được cho là "Yet Another WordPress Poster". Trước khi bị GitHub gỡ xuống, nó chứa hai tập lệnh: Một để xác thực thông tin đăng nhập WordPress và một để tạo bài đăng bằng API XML-RPC.

Nhưng công cụ này cũng chứa mã độc hại dưới dạng phụ thuộc npm độc hại, một gói có tên @0xengine/xmlrpc triển khai cùng một phần mềm độc hại. Ban đầu, nó được phát hành trên npm vào tháng 10 năm 2023 dưới dạng máy chủ và máy khách XML-RPC dựa trên JavaScript cho Node.js. Thư viện không còn khả dụng để tải xuống nữa.

Điều đáng chú ý là công ty an ninh mạng Checkmarx đã tiết lộ vào tháng trước rằng gói npm vẫn hoạt động trong hơn một năm, thu hút khoảng 1.790 lượt tải xuống.

Dự án GitHub yawpp được cho là đã cho phép đánh cắp hơn 390.000 thông tin đăng nhập, có thể là tài khoản WordPress, vào tài khoản Dropbox do kẻ tấn công kiểm soát bằng cách xâm phạm các tác nhân đe dọa không liên quan đã truy cập vào các thông tin đăng nhập này thông qua các phương tiện bất hợp pháp.

Datadog nói với The Hacker News rằng họ đã tận dụng dữ liệu từ xa và chia sẻ thông tin tình báo về mối đe dọa của riêng mình với nhà cung cấp thông tin tình báo bên thứ ba để xác định số lượng thông tin đăng nhập bị lộ.

Một phương pháp khác được sử dụng để phân phối tải trọng bao gồm gửi email lừa đảo đến các học giả trong đó họ bị lừa truy cập vào các liên kết hướng dẫn họ khởi chạy thiết bị đầu cuối và sao chép-dán lệnh shell để thực hiện nâng cấp hạt nhân được cho là. Phát hiện này đánh dấu lần đầu tiên một cuộc tấn công theo kiểu ClickFix được ghi nhận đối với các hệ thống Linux.

"Véc tơ truy cập ban đầu thứ hai mà MUT-1244 sử dụng là một nhóm người dùng GitHub độc hại công bố bằng chứng khái niệm giả mạo cho CVE", các nhà nghiên cứu giải thích. "Hầu hết trong số chúng được tạo vào tháng 10 hoặc tháng 11 [2024], không có hoạt động hợp pháp và có ảnh đại diện do AI tạo ra".

Một số kho lưu trữ PoC giả mạo này trước đây đã được Alex Kaganovich, giám đốc toàn cầu về nhóm bảo mật tấn công đỏ của Colgate-Palmolive, nêu bật vào giữa tháng 10 năm 2024. Nhưng trong một diễn biến thú vị, phần mềm độc hại giai đoạn thứ hai được phân phối theo bốn cách khác nhau -

Tệp biên dịch cấu hình có cửa hậu

Tải trọng độc hại được nhúng trong tệp PDF

Sử dụng trình thả Python

Bao gồm gói npm độc hại "0xengine/meow"

"MUT-1244 có thể xâm phạm hệ thống của hàng chục nạn nhân, chủ yếu là thành viên nhóm đỏ, các nhà nghiên cứu bảo mật và bất kỳ ai có hứng thú tải xuống mã khai thác PoC", các nhà nghiên cứu cho biết. "Điều này cho phép MUT-1244 truy cập vào thông tin nhạy cảm, bao gồm khóa SSH riêng tư, thông tin xác thực AWS và lịch sử lệnh".

Hương – Theo TheHackerNews

Tin liên quan:

Standard Post with Image

Thông báo thời gian nghỉ lễ Tết Dương Lịch 2025

NTS xin thông báo đến Quý khách hàng thời gian nghỉ lễ Tết Dương Lịch ngày Thứ Tư 01/01/2025 theo hướng dẫn của Chính Phủ ban hành. Chúng tôi sẽ làm...

Chi tiết
Standard Post with Image

Khi tiện ích mở rộng tốt trở nên tệ hại: Những điểm chính từ chiến dịch nhắm mục tiêu vào tiện ích mở rộng trình duyệt

Tin tức đã trở thành tiêu đề trong suốt cuối tuần về chiến dịch tấn công mở rộng nhắm vào các tiện ích mở rộng của trình duyệt và tiêm mã độc vào...

Chi tiết
Standard Post with Image

Khi tiện ích mở rộng tốt trở nên tệ hại: Làm thế nào để bảo vệ tổ chức của bạn

Mặc dù nhiều người dùng và tổ chức không nhận thức được những rủi ro tiềm ẩn liên quan đến tiện ích mở rộng trình duyệt, nhưng có một số hành động...

Chi tiết