黑客發起持續近一年大規模行動，竊取超39萬個WordPress登錄憑證

IT之家 12 月 16 日消息，據 BleepingComputer 上週六報道，威脅行爲者 MUT-1244 通過一項持續近一年的大規模行動，竊取了超過 39 萬個 WordPress 登錄憑證。這些憑證是通過一個帶有木馬的 WordPress 憑證檢查器盜取的，目標是其他網絡攻擊者。

報道援引 Datadog Security Labs 研究人員的消息稱，除了 WordPress 憑證外，SSH 私鑰和 AWS 訪問密鑰也被盜取，受害者包括紅隊成員、滲透測試專家、安全研究人員及其他惡意行爲者。

攻擊者通過數十個木馬化的 GitHub 倉庫將惡意概念驗證（PoC）代碼傳播出去，利用已知漏洞進行攻擊，同時還發起了釣魚攻擊，誘使目標安裝僞裝成 CPU 微代碼更新的假內核升級。

釣魚郵件誘騙受害者執行了惡意命令，虛假的 GitHub 倉庫則吸引了安全研究人員和攻擊者，這些人希望獲取針對特定漏洞的利用代碼。

這些僞造的概念驗證代碼早前也曾被用於針對研究人員，目的是盜取他們的研究成果或通過網絡滲透進入安全公司內部。

研究人員表示：“這些倉庫由於命名問題，自動被一些合法的威脅情報平臺如 Feedly 和 Vulnmon 收錄，作爲概念驗證倉庫使用，這使得它們看起來更可信，增加了有人使用它們的概率。”

攻擊者通過多種方式將惡意軟件注入 GitHub 倉庫，包括後門化的配置文件、惡意 PDF 文件、Python 下馬器和惡意 npm 包等。

前述機構 Datadog Security Labs 發現，這一攻擊活動與 Checkmarkx 公司 11 月報告中的一起供應鏈攻擊類似，後者使用“hpc20235 / yawp”GitHub 項目傳播惡意代碼，通過“0xengine / xmlrpc”npm 包竊取數據並挖掘 Monero 加密貨幣。

據IT之家瞭解，在這次攻擊中，惡意軟件不僅包含加密貨幣挖礦程序，還有後門，幫助 MUT-1244 竊取 SSH 密鑰、AWS 憑證及其他敏感信息。第二階段的惡意載荷將數據外泄到 Dropbox 和 file.io 等文件共享平臺，攻擊者通過硬編碼的憑證輕鬆訪問這些信息。

Datadog Security Labs 估計，數百個系統仍然受到感染，這一活動仍在繼續。