Удаленный репозиторий GitHub, рекламировавший инструмент WordPress для управления контентом, стал причиной утечки более 390 000 учетных данных. Эта атака является частью кампании MUT-1244 («таинственная неатрибутированная угроза»), описанной Datadog Security Labs. Злоумышленники использовали фишинг и троянизированные GitHub-репозитории, содержащие вредоносный код под видом доказательства концепции (PoC) для уязвимостей.
«Жертвами атак стали пентестеры, исследователи безопасности и злоумышленники, чьи конфиденциальные данные — SSH-ключи и учетные записи AWS — были похищены», — отмечают эксперты. Специалисты по безопасности часто становятся мишенью, так как их системы могут содержать информацию о нераскрытых уязвимостях.
Репозиторий «github[.]com/hpc20235/yawpp» распространял скрипты для работы с WordPress, но содержал вредоносную зависимость @0xengine/xmlrpc. Этот npm-пакет, загруженный 1790 раз до удаления, перенаправлял данные в аккаунт Dropbox злоумышленников. Среди похищенного — системная информация, SSH-ключи, переменные среды и файлы из директории ~/.aws.
MUT-1244 также применяет фишинговые письма, обманом вынуждая жертв запускать команды в терминале под видом обновлений ядра Linux. Это первая зарегистрированная атака ClickFix на системы Linux.
Поддельные GitHub-репозитории, созданные с помощью ИИ, появляются в октябре-ноябре 2024 года. Вредоносное ПО второго этапа распространяется через файлы с бэкдорами, вредоносные PDF, дропперы на Python и npm-пакеты, такие как 0xengine/meow.
«MUT-1244 удалось скомпрометировать десятки систем, включая устройства Red Team и исследователей, похитив SSH-ключи, учетные данные AWS и другие конфиденциальные данные», — заключили исследователи.
Уязвимости в плагине WordPress CleanTalk угрожают более 200 000 сайтам
