专钓安全人员，MUT-1244窃取39万wordpress凭据

一个现已被删除的 GitHub 仓库曾流传一种用于向在线内容管理体系（CMS）发布帖子的 WordPress 工具，据估计，该仓库使得超过 39 万个凭据被窃取。
这种恶意活动是一个被称为 MUT-1244（此中 MUT 指“神秘的未归因威胁”）的黑客发起的更广泛攻击活动的一部分，Datadog 安全实验室将其命名为 MUT-1244，该活动涉及网络垂纶和几个被植入木马的 GitHub 仓库，这些仓库托管着用于利用已知安全漏洞的概念验证（PoC）代码。 
“受害者包括了渗出测试人员和安全研究人员，以及其它一些黑客。他们诸如 SSH 私钥和 AWS 访问密钥等敏感数据被窃取，”研究人员克里斯托夫·塔法尼-德雷佩尔、马特·缪尔和阿德里安·科恩在与《黑客新闻》分享的分析中表现。
安全研究人员一直是攻击者的重点关注目标，包括来自朝鲜的国家支持的组织，这并不希奇，因为破坏他们的体系大概会产生关于他们大概正在研究的未公开安全漏洞的大概利用信息，这些信息随后可以被利用来发动进一步的攻击。 
比年来，出现了一种趋势，攻击者试图利用漏洞披露，使用虚伪的个人资料创建 GitHub 仓库，声称托管漏洞的 PoC，但现实上是为了进行数据窃取，乃至要求支付以换取EXP。MUT-1244 发起的活动不仅涉及利用被植入木马的 GitHub 仓库，还包括网络垂纶邮件，这两者都充当了通报第二阶段有效载荷的渠道，能够摆设加密货币发掘器，以及窃取体系信息、私有的 SSH 密钥、环境变量和与特定文件夹（比方，发送~/.aws）干系的内容到 File.io。 
此中一个这样的仓库是“github[.]com/hpc20235/yawpp”，它声称是“又一个 WordPress 发布器”。在被 GitHub 下架之前，它包含两个脚本：一个用于验证 WordPress 凭据，另一个用于使用 XML-RPC API 创建帖子。

但该工具还以恶意的 npm 依赖项的情势隐蔽了恶意代码，一个名为@0xengine/xmlrpc 的包摆设了雷同的恶意软件。它最初于 2023 年 10 月作为基于 JavaScript 的用于 Node.js 的 XML-RPC 服务器和客户端发布到 npm。该库不再可供下载。 
值得注意的是，网络安全公司 Checkmarx 上个月透露，这个 npm 包在一年多的时间里一直处于活跃状态，吸引了约莫 1790 次下载。 
据说 yawpp GitHub 项目通过此种方式，使得超过 39 万个大概是 WordPress 账户的凭据被窃取到攻击者控制的 Dropbox 账户。 
Datadog 告诉《黑客新闻》，它利用本身的遥测和与第三方谍报提供商共享的威胁谍报来确定袒露的凭据数量。
另一种用于通报有效载荷的方法包括向学者发送网络垂纶邮件，他们被诱骗访问链接，这些链接指示他们启动终端并复制粘贴一个 shell 下令以执行所谓的内核升级。这一发现标记着首次有针对 Linux 体系的 ClickFix 风格的攻击被记录下来。
“MUT-1244 使用的第二个攻击方式是一组恶意的 GitHub 用户发布针对 CVE 的虚伪POC，”研究人员解释说。“它们中的大多数是在 2024 年 10 月或 11 月创建的，没有合法活动，并且有一个由人工智能天生的个人资料图片。” 
此中一些虚伪的 PoC 仓库在 2024 年 10 月中旬曾被高露洁棕榄公司的环球进攻性安全红队负责人亚历克斯·卡加诺维奇提到过。但有趣的是，第二阶段恶意软件通过四种不同的方式流传—— 

• 被植入后门的设置编译文件 
  
• 嵌入在 PDF 文件中的恶意有效载荷 
  
• 使用 Python 投放器 
  
• 包含恶意的 npm 包“0xengine/meow” 
  

“MUT-1244 攻击了大量安全从业人员，紧张是红队成员、安全研究人员以及任何对下载 PoC 漏洞利用代码感爱好的人，”研究人员说。“这使得 MUT-1244 能够访问敏感信息，包括私有的 SSH 密钥、AWS 凭据和下令汗青。”
来源：thehackernews

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。