Эксперты Checkmarx и Datadog Security Labs выявили сложную атаку на цепочку поставок, которая длится уже более года.
Злоумышленники размещают на GitHub фальшивые PoC-эксплоиты и инструменты для проверки учетных записей, заражая машины исследователей и других хакеров бэкдором для кражи приватных ключей SSH, ключей AWS и другой конфиденциальной информации. Также на машины жертв устанавливался майнер для добычи криптовалюты Monero
Специалисты из Datadog отслеживают стоящую за этими атаками хак-группу как MUT-1244 (где MUT расшифровывается как «Mysterious unattributed threat» — «Загадочная неизвестная угроза»).
Впервые атаки MUT-1244 были замечены исследователями Checkmarx, которые обнаружили пакет @0xengine/xmlrpc, доступный в npm с октября 2023 года. Исходно этот пакет не представлял угрозы и предлагал JavaScript-имплементацию XML-RPC и клиентскую реализацию для Node.js.
Однако со временем этот пакет постепенно превратился в малварь с сильно обфусцированным кодом, скрытом в одном из компонентов. При этом за год @0xengine/xmlrpc был загружен около 1790 раз и получил 16 безобидных обновлений, чтобы создать у пользователей впечатление, что это безвредная и легитимная библиотека.
Другой вредоносный пакет хакеров — yawpp был обнаружен на GitHub (https://github[.]com/hpc20235/yawpp). Этот пакет представлял собой инструмент для проверки действительности учетных данных WordPress. В его коде не было малвари, однако он требовал использования вредоносного @0xengine/xmlrpc в качестве зависимости, что приводило к его автоматической установке.
Общая схема атаки
В итоге малварь закреплялась во взломанной системе и запускалась при каждой перезагрузке зараженной машины, маскируясь под легитимную службу Xsession.auth. Каждые 12 часов Xsession.auth инициировала сбор конфиденциальной информации, включая:
Затем собранные данные либо загружались в Dropbox, либо на file.io.
Общая схема атаки
Как рассказали аналитики Datadog, для распространения малвари среди жертв MUT-1244 использовала разные тактики.
Один из способов был связан с набором из 49 вредоносных записей на GitHub, которые публиковали фальшивые эксплоиты для различных уязвимостей. Большинство этих аккаунтов были созданы в октябре и ноябре 2024 года, а фотографии в их профилях были сгенерированы при помощи ИИ.
Пакеты с PoC-эксплоитами часто привлекают внимание злоумышленников, а также пентестеров и ИБ-исследователей, которые хотят лучше понять масштабы уязвимостей, а также разобраться в способах их эксплуатации и устранения.
Хуже того, некоторые из вредоносных пакетов оказались автоматически включены в легитимные источники (например, Feedly Threat Intelligence и Vulnmon), где их перечисляли как реальные PoC-эксплоиты.
Вторым вектором распространения стали фишинговые письма. Участники MUT-1244 использовали фишинговый шаблон и разослали письма на 2758 email-адресов, которые взяли с сайта arXiv, которым часто пользуются профессионалы и академические исследователи. Группа допустила ошибку, оставив это фишинговый шаблон и адреса в открытом доступе.
Фишинговое письмо
Письма хакеров, отправленные в период с 5 по 21 октября, были адресованы людям, которые разрабатывают или исследуют ПО для высокопроизводительных вычислений. Им предлагали установить обновление микрокода ЦП, которое якобы должно значительно улучшить производительность.
В результате @0xengine/xmlrpc позволил злоумышленникам похитить около 390 000 учетных данных с зараженных компьютеров. По данным Datadog, эти учетные данные использовались для входа в административные учетные записи сайтов под управлением WordPress.
Как утекли учетные данные для WordPress
Конечные цели MUT-1244 пока остаются неясными. Вряд ли целью хакеров была именно добыча криптовалюты (ведь для этого не требовалось нацеливать кампанию на ИБ-экспертов и других хакеров). Если же целью атаки были именно специалисты и злоумышленники, то не совсем ясно, зачем MUT-1244 понадобилось майнить криптовалюту.
Злоумышленники размещают на GitHub фальшивые PoC-эксплоиты и инструменты для проверки учетных записей, заражая машины исследователей и других хакеров бэкдором для кражи приватных ключей SSH, ключей AWS и другой конфиденциальной информации. Также на машины жертв устанавливался майнер для добычи криптовалюты Monero
Специалисты из Datadog отслеживают стоящую за этими атаками хак-группу как MUT-1244 (где MUT расшифровывается как «Mysterious unattributed threat» — «Загадочная неизвестная угроза»).
Впервые атаки MUT-1244 были замечены исследователями Checkmarx, которые обнаружили пакет @0xengine/xmlrpc, доступный в npm с октября 2023 года. Исходно этот пакет не представлял угрозы и предлагал JavaScript-имплементацию XML-RPC и клиентскую реализацию для Node.js.
Однако со временем этот пакет постепенно превратился в малварь с сильно обфусцированным кодом, скрытом в одном из компонентов. При этом за год @0xengine/xmlrpc был загружен около 1790 раз и получил 16 безобидных обновлений, чтобы создать у пользователей впечатление, что это безвредная и легитимная библиотека.
Другой вредоносный пакет хакеров — yawpp был обнаружен на GitHub (https://github[.]com/hpc20235/yawpp). Этот пакет представлял собой инструмент для проверки действительности учетных данных WordPress. В его коде не было малвари, однако он требовал использования вредоносного @0xengine/xmlrpc в качестве зависимости, что приводило к его автоматической установке.
Общая схема атаки
В итоге малварь закреплялась во взломанной системе и запускалась при каждой перезагрузке зараженной машины, маскируясь под легитимную службу Xsession.auth. Каждые 12 часов Xsession.auth инициировала сбор конфиденциальной информации, включая:
- ключи SSH и конфигурации из ~/.ssh;
- историю команд из ~/.bash_history;
- информацию о системе и настройках;
- переменные среды и пользовательские данные;
- информацию о сети и IP-адресе (через ipinfo.io).
Затем собранные данные либо загружались в Dropbox, либо на file.io.
Общая схема атаки
Как рассказали аналитики Datadog, для распространения малвари среди жертв MUT-1244 использовала разные тактики.
Один из способов был связан с набором из 49 вредоносных записей на GitHub, которые публиковали фальшивые эксплоиты для различных уязвимостей. Большинство этих аккаунтов были созданы в октябре и ноябре 2024 года, а фотографии в их профилях были сгенерированы при помощи ИИ.
Пакеты с PoC-эксплоитами часто привлекают внимание злоумышленников, а также пентестеров и ИБ-исследователей, которые хотят лучше понять масштабы уязвимостей, а также разобраться в способах их эксплуатации и устранения.
Хуже того, некоторые из вредоносных пакетов оказались автоматически включены в легитимные источники (например, Feedly Threat Intelligence и Vulnmon), где их перечисляли как реальные PoC-эксплоиты.
Вторым вектором распространения стали фишинговые письма. Участники MUT-1244 использовали фишинговый шаблон и разослали письма на 2758 email-адресов, которые взяли с сайта arXiv, которым часто пользуются профессионалы и академические исследователи. Группа допустила ошибку, оставив это фишинговый шаблон и адреса в открытом доступе.
Фишинговое письмо
Письма хакеров, отправленные в период с 5 по 21 октября, были адресованы людям, которые разрабатывают или исследуют ПО для высокопроизводительных вычислений. Им предлагали установить обновление микрокода ЦП, которое якобы должно значительно улучшить производительность.
В результате @0xengine/xmlrpc позволил злоумышленникам похитить около 390 000 учетных данных с зараженных компьютеров. По данным Datadog, эти учетные данные использовались для входа в административные учетные записи сайтов под управлением WordPress.
Как утекли учетные данные для WordPress
Конечные цели MUT-1244 пока остаются неясными. Вряд ли целью хакеров была именно добыча криптовалюты (ведь для этого не требовалось нацеливать кампанию на ИБ-экспертов и других хакеров). Если же целью атаки были именно специалисты и злоумышленники, то не совсем ясно, зачем MUT-1244 понадобилось майнить криптовалюту.