一個已被移除的 GitHub 倉庫假借開發 WordPress 發文工具之名,實際竊取超過 39 萬組使用者憑證。資安公司 Datadog Security Labs 的研究團隊發現,這起攻擊是由代號「MUT-1244」(MUT 意指「神秘未歸因威脅」)的駭客組織所發動,其攻擊手法包括網路釣魚及在 GitHub 上散布偽裝成資安漏洞概念驗證(PoC)的惡意程式碼。
研究團隊指出,
這次攻擊主要鎖定滲透測試人員和資安研究員等資安從業人員。攻擊者透過竊取這些目標的系統存取權限,進而取得 SSH 私鑰和 AWS 存取金鑰等敏感資料。這類針對資安研究人員的攻擊並不罕見,因為成功入侵後可能取得未公開漏洞的相關資訊,有助於發動進一步攻擊。
在這次事件中,攻擊者使用了名為「github.com/hpc20235/yawpp」的倉庫,宣稱是一個名為「Yet Another WordPress Poster」的工具。
該倉庫包含兩個腳本,分別用於驗證 WordPress 憑證和使用 XML-RPC API 發布文章。然而,這些工具中暗藏惡意程式碼,主要透過一個名為 @0xengine/xmlrpc 的惡意 npm 套件執行。根據資安公司 Checkmarx 的調查,這個惡意套件在 npm 平台上活躍超過一年,累積約 1,790 次下載。
除了透過 GitHub 倉庫散布惡意程式碼外,
MUT-1244 還採用釣魚郵件作為攻擊途徑。攻擊者會向學術界人士發送郵件,誘騙他們訪問特定連結並執行聲稱用於系統核心升級的終端機指令。研究人員指出,這是首次發現針對 Linux 系統的 ClickFix 式攻擊。
Datadog Security Labs 研究人員表示,MUT-1244 的另一個攻擊手法是在 GitHub 上建立虛假用戶,發布偽裝成漏洞概念驗證的程式碼。這些帳號多半在 2024 年 10 月或 11 月建立,沒有正常的活動紀錄,且使用 AI 生成的頭像。
惡意程式碼的部署方式包括後門化的編譯檔案、嵌入 PDF 的惡意程式、Python 下載器,以及惡意 npm 套件「0xengine/meow」。
這起事件再次提醒資安從業人員在下載和使用開源工具時需格外謹慎,尤其是來自未經驗證的來源的概念驗證程式碼。同時也顯示了駭客組織正越來越多地利用開發者生態系統作為攻擊媒介。
本文轉載自thehackernews。