MUT-1244: хакеры убирают конкурентов через GitHub

Добро пожаловать на наш форум!

Спасибо за посещение нашего сообщества. Пожалуйста, зарегистрируйтесь или войдите, чтобы получить доступ ко всем функциям.


Gibby

Автор
Команда проекта

Регистрация
Сообщений
1,645
Репутация
45
Сделок
Эксперты Checkmarx и Datadog Security Labs выявили сложную атаку на цепочку поставок, которая длится уже более года.

Злоумышленники размещают на GitHub фальшивые PoC-эксплоиты и инструменты для проверки учетных записей, заражая машины исследователей и других хакеров бэкдором для кражи приватных ключей SSH, ключей AWS и другой конфиденциальной информации. Также на машины жертв устанавливался майнер для добычи криптовалюты Monero

Специалисты из Datadog отслеживают стоящую за этими атаками хак-группу как MUT-1244 (где MUT расшифровывается как «Mysterious unattributed threat» — «Загадочная неизвестная угроза»).

Впервые атаки MUT-1244 были замечены исследователями Checkmarx, которые обнаружили пакет @0xengine/xmlrpc, доступный в npm с октября 2023 года. Исходно этот пакет не представлял угрозы и предлагал JavaScript-имплементацию XML-RPC и клиентскую реализацию для Node.js.

Однако со временем этот пакет постепенно превратился в малварь с сильно обфусцированным кодом, скрытом в одном из компонентов. При этом за год @0xengine/xmlrpc был загружен около 1790 раз и получил 16 безобидных обновлений, чтобы создать у пользователей впечатление, что это безвредная и легитимная библиотека.

1.jpg

«Сочетание регулярных обновлений, легитимной на первый взгляд функциональности и стратегического использования зависимостей способствовало необычно долгому пребыванию пакета в экосистеме npm, намного превышавшему обычный срок жизни вредоносных пакетов, которые обычно обнаруживаются и удаляются в течение нескольких дней», — пишут специалисты Checkmarx.

Другой вредоносный пакет хакеров — yawpp был обнаружен на GitHub (https://github[.]com/hpc20235/yawpp). Этот пакет представлял собой инструмент для проверки действительности учетных данных WordPress. В его коде не было малвари, однако он требовал использования вредоносного @0xengine/xmlrpc в качестве зависимости, что приводило к его автоматической установке.

2.jpg
Общая схема атаки

В итоге малварь закреплялась во взломанной системе и запускалась при каждой перезагрузке зараженной машины, маскируясь под легитимную службу Xsession.auth. Каждые 12 часов Xsession.auth инициировала сбор конфиденциальной информации, включая:

  • ключи SSH и конфигурации из ~/.ssh;
  • историю команд из ~/.bash_history;
  • информацию о системе и настройках;
  • переменные среды и пользовательские данные;
  • информацию о сети и IP-адресе (через ipinfo.io).

Затем собранные данные либо загружались в Dropbox, либо на file.io.

3.jpg
Общая схема атаки

Как рассказали аналитики Datadog, для распространения малвари среди жертв MUT-1244 использовала разные тактики.

Один из способов был связан с набором из 49 вредоносных записей на GitHub, которые публиковали фальшивые эксплоиты для различных уязвимостей. Большинство этих аккаунтов были созданы в октябре и ноябре 2024 года, а фотографии в их профилях были сгенерированы при помощи ИИ.

Пакеты с PoC-эксплоитами часто привлекают внимание злоумышленников, а также пентестеров и ИБ-исследователей, которые хотят лучше понять масштабы уязвимостей, а также разобраться в способах их эксплуатации и устранения.

Хуже того, некоторые из вредоносных пакетов оказались автоматически включены в легитимные источники (например, Feedly Threat Intelligence и Vulnmon), где их перечисляли как реальные PoC-эксплоиты.

Вторым вектором распространения стали фишинговые письма. Участники MUT-1244 использовали фишинговый шаблон и разослали письма на 2758 email-адресов, которые взяли с сайта arXiv, которым часто пользуются профессионалы и академические исследователи. Группа допустила ошибку, оставив это фишинговый шаблон и адреса в открытом доступе.

4.jpg
Фишинговое письмо

Письма хакеров, отправленные в период с 5 по 21 октября, были адресованы людям, которые разрабатывают или исследуют ПО для высокопроизводительных вычислений. Им предлагали установить обновление микрокода ЦП, которое якобы должно значительно улучшить производительность.

В результате @0xengine/xmlrpc позволил злоумышленникам похитить около 390 000 учетных данных с зараженных компьютеров. По данным Datadog, эти учетные данные использовались для входа в административные учетные записи сайтов под управлением WordPress.

«Учитывая, что MUT-1244 рекламировала yawpp как “средство проверки учетных данных” WordPress, неудивительно, что злоумышленник с набором ворованных учетных данных (которые часто покупаются на подпольных маркетплейсах для ускорения мошеннических операций) использовал yawpp для их проверки», — отмечают эксперты.

5.jpg
Как утекли учетные данные для WordPress

Конечные цели MUT-1244 пока остаются неясными. Вряд ли целью хакеров была именно добыча криптовалюты (ведь для этого не требовалось нацеливать кампанию на ИБ-экспертов и других хакеров). Если же целью атаки были именно специалисты и злоумышленники, то не совсем ясно, зачем MUT-1244 понадобилось майнить криптовалюту.
 
Сверху