據(jù)BleepingComputer消息，一個被標記為 MUT-1244 的攻擊者利用植入木馬的 WordPress 憑證檢查器進行了一次規(guī)模龐大、長達一年的攻擊活動，盜取了超過 39 萬個 WordPress 憑證。

Datadog Security Labs 的研究人員發(fā)現(xiàn)了這些攻擊，并表示被感染系統(tǒng)中有數(shù)百名受害者的 SSH 私鑰和 AWS 訪問密鑰也被盜取，這些受害者很可能包括紅隊成員、滲透測試員、安全研究人員甚至其他一些黑客。

被感染者通過相同的第二階段惡意載荷進行感染，該惡意載荷通過數(shù)十個植入了木馬的 GitHub 代碼庫傳播，這些代碼庫提供了針對已知安全漏洞的惡意的概念驗證（PoC）漏洞利用代碼以及一項釣魚活動，引導目標安裝偽裝成 CPU 微碼升級的虛假內(nèi)核升級。

雖然釣魚電子郵件誘使受害者執(zhí)行命令安裝惡意軟件，但虛假代碼庫則欺騙了尋求特定漏洞利用代碼的安全專業(yè)人員和其他一些黑客。在此之前，攻擊者曾利用虛假的概念驗證漏洞來攻擊研究人員，希望竊取有價值的研究成果或者獲得對網(wǎng)絡安全公司網(wǎng)絡的訪問權(quán)限。

研究人員表示，由于它們的命名方式，其中幾個代碼庫會自動包含在 Feedly Threat Intelligence 或Vulnmon 等合法來源中，作為這些漏洞的概念驗證代碼庫，這增加了它們的合法性和被運行的可能性。

這些惡意載荷通過 GitHub 代碼庫使用多種方法進行傳播，包括帶有后門的配置編譯文件、惡意 PDF 文件、 Python 樣本傳播程序以及包含在項目依賴項中的惡意 npm 包。

正如 Datadog Security Labs 發(fā)現(xiàn)的那樣，這次攻擊與Checkmarkx 在 11 月發(fā)布的一份報告中提到的一次為期一年的供應鏈攻擊有重疊之處，這次攻擊通過在"hpc20235/yawp" GitHub 項目中使用"0xengine/xmlrpc" npm 包中的惡意代碼來竊取數(shù)據(jù)和挖掘 Monero 加密貨幣。

攻擊中部署的惡意軟件包括一個加密貨幣挖礦程序和一個后門，幫助 MUT-1244 收集和竊取私有 SSH 密鑰、 AWS 憑證、環(huán)境變量以及密鑰目錄內(nèi)容，比如"~/.aws"。

第二階段的惡意載荷托管在一個獨立的平臺上，使攻擊者能夠?qū)?shù)據(jù)導出到像 Dropbox 和file.io 這樣的文件共享服務中，調(diào)查人員在惡意載荷中找到了這些平臺的硬編碼憑證，使攻擊者能夠輕松訪問被竊取的信息。

攻擊流程

Datadog Security Labs 的研究人員表示，MUT-1244 成功獲取了超過 39 萬個WordPress憑證，并高度確信這些憑證在被導出到 Dropbox 之前就已經(jīng)落入了攻擊者手中。

攻擊者成功利用了網(wǎng)絡安全界的互信關(guān)系，通過目標在無意中執(zhí)行攻擊者的惡意軟件而侵入了數(shù)十臺白帽和黑帽黑客的機器，導致包括 SSH 密鑰、 AWS 訪問令牌和命令歷史在內(nèi)的數(shù)據(jù)被竊取。

Datadog Security Labs 估計，數(shù)百臺系統(tǒng)仍然會受到攻擊，而其他系統(tǒng)仍在遭受這次持續(xù)攻擊帶來的感染。