Se estima que un repositorio de GitHub (ya eliminado), que promocionaba una herramienta de WordPress, ha permitido la exfiltración de más de 390.000 credenciales.
La actividad maliciosa es parte de una campaña de ataque más amplia llevada a cabo por un actor de amenazas, denominado MUT-1244 (Mysterious Unattributed Threat - "Amenaza Misteriosa No Atribuida") por Datadog Security Labs, que implica phishing y varios repositorios de GitHub troyanizados que albergan código de prueba de concepto (PoC) para explotar fallas de seguridad conocidas.
"Se cree que las víctimas son actores ofensivos, incluidos pentesters e investigadores de seguridad, así como actores de amenazas maliciosas, y se les exfiltraron datos confidenciales como claves privadas SSH y claves de acceso de AWS", dijeron los investigadores Christophe Tafani-Dereeper, Matt Muir y Adrian Korn
Las campañas llevadas a cabo por MUT-1244 no solo implican el uso de repositorios de GitHub troyanizados, sino también correos electrónicos de phishing, los cuales actúan como un conducto para entregar una carga útil de segunda etapa capaz de hacer caer un minero de criptomonedas, así como robar información del sistema, claves SSH privadas, variables de entorno y contenidos asociados con carpetas específicas.
Uno de esos repositorios era "github[.]com/hpc20235/yawpp" y contenía dos scripts: uno para validar las credenciales de WordPress y otro para crear publicaciones utilizando la API XML-RPC.
Pero la herramienta también albergaba código malicioso en forma de una dependencia npm no autorizada, un paquete llamado @0xengine/xmlrpc que implementaba el malware. Se publicó originalmente en npm en octubre de 2023 como un servidor y cliente XML-RPC basado en JavaScript para Node.js. La biblioteca ya no está disponible para descargar.
Vale la pena señalar que la empresa de ciberseguridad Checkmarx reveló el mes pasado que el paquete npm permaneció activo durante más de un año, atrayendo alrededor de 1.790 descargas.
Se dice que el proyecto de GitHub yawpp permitió la exfiltración de más de 390.000 credenciales, probablemente para cuentas de WordPress, a una cuenta de Dropbox controlada por un atacante al comprometer a actores de amenazas no relacionados que tenían acceso a estas credenciales a través de medios ilícitos.
Otro método utilizado para distribuir la carga útil consiste en enviar correos electrónicos de phishing a académicos en los que se les engaña para que visiten enlaces que les indican que inicien la terminal y copien y peguen un comando de shell para realizar una supuesta actualización del kernel. El descubrimiento marca la primera vez que se documenta un ataque al estilo ClickFix contra sistemas Linux.
"Esta táctica implica mostrar mensajes de error falsos en los navegadores web para engañar a los usuarios para que copien y ejecuten un código malicioso de PowerShell determinado, infectando finalmente sus sistemas". En los últimos meses se han informado ampliamente sobre variaciones de la campaña ClickFix (también conocida como ClearFake y OneDrive Pastejacking), en las que los actores de amenazas emplean diferentes señuelos para redirigir a los usuarios a páginas falsas que tienen como objetivo implementar malware instando a los visitantes del sitio a ejecutar un código PowerShell codificado para abordar un supuesto problema con la visualización de contenido en el navegador web.
"El segundo vector de acceso inicial que utiliza MUT-1244 es un conjunto de usuarios maliciosos de GitHub que publican pruebas de concepto falsas para CVE", explicaron los investigadores. "La mayoría de ellos se crearon en octubre o noviembre [de 2024], no tienen actividad legítima y tienen una foto de perfil generada por IA".
Algunos de estos repositorios PoC falsos fueron previamente destacados por Alex Kaganovich, jefe global del equipo rojo de seguridad ofensiva de Colgate-Palmolive, a mediados de octubre de 2024. Pero en un giro interesante, el malware de segunda etapa se activa de cuatro formas diferentes:
- Archivo de compilación de configuración con puerta trasera
- Carga útil maliciosa incrustada en un archivo PDF
- Uso de un Dropper de Python
- Inclusión de un paquete npm malicioso "0xengine/meow"
"MUT-1244 pudo comprometer el sistema de docenas de víctimas, en su mayoría miembros del equipo rojo, investigadores de seguridad y cualquier persona interesada en descargar el código de explotación de PoC", dijeron los investigadores. "Esto le permitió a MUT-1244 obtener acceso a información confidencial, incluidas claves SSH privadas, credenciales de AWS e historial de comandos".
No es de extrañar que los investigadores de seguridad hayan sido un objetivo atractivo para los actores de amenazas, incluidos los grupos de estados-nación de Corea del Norte, ya que comprometer sus sistemas podría brindar información sobre posibles exploits relacionados con fallas de seguridad no reveladas en las que pueden estar trabajando, que luego podrían aprovecharse para organizar más ataques.
En los últimos años, ha surgido una tendencia en la que los atacantes intentan sacar provecho de las revelaciones de vulnerabilidades para crear repositorios de GitHub utilizando perfiles falsos que afirman albergar PoC para las fallas, pero en realidad están diseñados para llevar a cabo robos de datos e incluso exigir un pago a cambio del exploit.
Fuente: THN