Repositori GitHub yang sekarang dihapus dan mengiklankan alat WordPress untuk mempublikasikan postingan ke sistem manajemen konten online (CMS) diperkirakan telah memungkinkan eksfiltrasi lebih dari 390.000 kredensial.
Aktivitas jahat ini merupakan bagian dari kampanye serangan yang lebih luas yang dilakukan oleh aktor ancaman, yang dijuluki MUT-1244 (di mana MUT mengacu pada “ancaman misterius tanpa atribut”) oleh Datadog Security Labs, yang melibatkan phishing dan beberapa repositori GitHub yang di-trojanisasi yang menampung bukti konsep (PoC) kode untuk mengeksploitasi kelemahan keamanan yang diketahui.
“Korban diyakini merupakan aktor yang menyerang – termasuk pentester dan peneliti keamanan, serta aktor ancaman jahat – dan data sensitif seperti kunci pribadi SSH dan kunci akses AWS telah dieksfiltrasi,” peneliti Christophe Tafani-Dereeper, Matt Muir, dan Adrian Korn kata dalam analisis yang dibagikan dengan The Hacker News.
Tidak mengherankan jika para peneliti keamanan telah menjadi target yang menarik bagi para pelaku ancaman, termasuk kelompok negara-bangsa dari Korea Utara, karena dengan mengkompromikan sistem mereka, mereka dapat menghasilkan informasi tentang kemungkinan eksploitasi terkait dengan kelemahan keamanan yang dirahasiakan yang sedang mereka tangani, yang kemudian dapat dimanfaatkan. untuk melancarkan serangan lebih lanjut.
Dalam beberapa tahun terakhir, muncul tren di mana penyerang berupaya memanfaatkan pengungkapan kerentanan untuk membuat repositori GitHub menggunakan profil palsu yang mengklaim sebagai host PoC untuk mengatasi kelemahan tersebut, namun sebenarnya dirancang untuk melakukan pencurian data dan bahkan meminta pembayaran sebagai imbalan atas eksploitasi tersebut.
Kampanye yang dilakukan oleh MUT-1244 tidak hanya melibatkan penggunaan repositori GitHub yang di trojan tetapi juga email phishing, yang keduanya bertindak sebagai saluran untuk mengirimkan muatan tahap kedua yang mampu menjatuhkan penambang mata uang kripto, serta mencuri informasi sistem, data pribadi. Kunci SSH, variabel lingkungan, dan konten yang terkait dengan folder tertentu (misalnya, ~/.aws) ke File.io.
Salah satu repositori tersebut adalah “github[.]com/hpc20235/yawpp,” yang diklaim sebagai “Yet Another WordPress Poster.” Sebelum dihapus oleh GitHub, poster ini berisi dua skrip: Satu untuk memvalidasi kredensial WordPress dan satu lagi untuk membuat postingan menggunakan API XML-RPC.
Namun alat tersebut juga menyimpan kode berbahaya dalam bentuk ketergantungan npm jahat, sebuah paket bernama @0xengine/xmlrpc yang menyebarkan malware yang sama. Awalnya diterbitkan ke npm pada Oktober 2023 sebagai server dan klien XML-RPC berbasis JavaScript untuk Node.js. Perpustakaan tidak lagi tersedia untuk diunduh.
Perlu dicatat bahwa perusahaan keamanan siber Checkmarx bulan lalu mengungkapkan bahwa paket npm tetap aktif selama lebih dari setahun, menarik sekitar 1.790 unduhan.
Proyek yawpp GitHub dikatakan telah memungkinkan eksfiltrasi lebih dari 390.000 kredensial, kemungkinan besar untuk akun WordPress, ke akun Dropbox yang dikendalikan penyerang dengan menyusupi pelaku ancaman yang tidak terkait yang memiliki akses ke kredensial ini melalui cara terlarang.
Metode lain yang digunakan untuk mengirimkan muatan adalah dengan mengirimkan email phishing ke akademisi di mana mereka ditipu untuk mengunjungi tautan yang memerintahkan mereka untuk meluncurkan terminal dan menyalin-menempelkan perintah shell untuk melakukan peningkatan kernel. Penemuan ini menandai pertama kalinya serangan gaya ClickFix didokumentasikan terhadap sistem Linux.
“Vektor akses awal kedua yang digunakan MUT-1244 adalah sekumpulan pengguna GitHub jahat yang menerbitkan bukti konsep palsu untuk CVE,” jelas para peneliti. “Sebagian besar dibuat pada bulan Oktober atau November [2024]tidak memiliki aktivitas yang sah, dan memiliki gambar profil yang dibuat oleh AI.”
Beberapa dari repositori PoC palsu ini sebelumnya disorot oleh Alex Kaganovich, kepala tim merah keamanan ofensif global Colgate-Palmolive, pada pertengahan Oktober 2024. Namun menariknya, malware tahap kedua ini melalui empat cara berbeda –
- File kompilasi konfigurasi pintu belakang
- Muatan berbahaya tertanam dalam file PDF
- Menggunakan penetes Python
- Penyertaan paket npm berbahaya “0xengine/meow”
“MUT-1244 mampu menyusupi sistem lusinan korban, sebagian besar anggota tim merah, peneliti keamanan, dan siapa saja yang berkepentingan mengunduh kode eksploitasi PoC,” kata para peneliti. “Ini memungkinkan MUT-1244 mendapatkan akses ke informasi sensitif, termasuk kunci SSH pribadi, kredensial AWS, dan riwayat perintah.”
