来自 Checkmarx 和 Datadog 安全实验室的专家发现了一种复杂的供应链攻击,这种攻击已经持续了一年多,攻击者在 GitHub 上发布虚假 PoC 漏洞利用和账户验证工具,用后门感染研究人员和其他黑客的机器,以窃取 SSH 私钥、AWS 密钥和其他敏感信息。 Datadog 专家将这些攻击背后的黑客组织追踪为 MUT-1244(其中 MUT 代表 "神秘的未归属威胁")。 MUT-1244 攻击首次由 Checkmarx 研究人员发现,他们发现 @0xengine/xmlrpc 软件包自 2023 年 10 月起在 npm 中可用。 该软件包最初不具威胁性,提供了 XML-RPC 的 JavaScript 实现和 Node.js 的客户端实现。
然而,随着时间的推移,这个软件包逐渐变成了一个恶意软件,其中一个组件中隐藏着严重混淆的代码。 与此同时,@0xengine/xmlrpc 在一年内被下载了约 1790 次,并接受了 16 次无害的更新,给用户造成了它是一个无害的合法库的印象。
在 GitHub(https://github[.]com/hpc20235/yawpp)上发现了另一个恶意黑客软件包 yawpp。 该软件包是一个检查 WordPress 凭据有效性的工具。 它的代码中不包含恶意软件,但它需要恶意的 @0xengine/xmlrpc 作为依赖项,这导致它被自动安装。
结果,恶意软件在被入侵系统中根深蒂固,每次受感染的机器重新启动时,恶意软件都会伪装成合法的 Xsession.auth 服务启动。 每隔 12 小时,Xsession.auth 就会开始收集敏感信息,包括:来自 ~/.ssh 的 SSH 密钥和配置;来自 ~/.bash_history 的命令历史记录;系统和配置信息;环境变量和用户数据;网络和 IP 地址信息(通过 ipinfo.io)。
收集到的数据随后被上传到 Dropbox 或 file.io。 据 Datadog 分析师称,MUT-1244 使用不同的策略向受害者传播恶意软件。 其中一种方法涉及一组 49 个恶意 GitHub 账户,这些账户发布了针对各种漏洞的虚假漏洞利用程序。 这些账户大多创建于 2024 年 10 月和 11 月,它们的个人资料图片是使用人工智能生成的。 PoC 漏洞利用程序包通常会吸引攻击者以及五项测试者和 IS 研究人员的注意,他们希望更好地了解漏洞的范围,并找出如何利用和修复这些漏洞。
更糟糕的是,一些恶意软件包被自动纳入合法来源(如Feedly Threat Intelligence和Vulnmon),并被列为真正的PoC漏洞。 第二个传播媒介是钓鱼邮件。 MUT-1244 的参与者使用了一个钓鱼模板,向 2,758 个电子邮件地址发送了电子邮件,这些地址来自专业人士和学术研究人员经常使用的 arXiv 网站。 黑客在 10 月 5 日至 21 日期间发送的电子邮件的收件人是开发或研究高性能计算软件的人员。 结果,@0xengine/xmlrpc 让攻击者从受感染的计算机中窃取了约 390,000 个凭据。 据 Datadog 称,这些凭证被用于登录运行 WordPress 网站的管理账户。
MUT-1244 的最终目标尚不清楚。 黑客的目标不太可能是挖掘加密货币(因为这并不需要以 IS 专家和其他黑客为目标)。 如果专家和攻击者才是攻击目标,那么 MUT-1244 为何需要挖掘加密货币就不太清楚了。
AI API 安全 DMARC 中国 云安全 五角大楼 人工智能 关税 加密货币 勒索软件 品牌冒充 国家安全 威胁情报 应用程序安全 恶意软件 数字货币 时事政治 时政 时政新闻 木马病毒 欺诈管理和网络犯罪 欺骗 民族国家攻击 漏洞和威胁 特朗普政府 社会工程学 社会工程学、网络战 移动安全 端点安全 缺口 网络安全 网络安全运营 网络攻击和数据泄露 网络犯罪 网络罪犯 网络钓鱼 网络间谍 网络风险 美国贸易代表办公室 联邦贸易委员会 脆弱性 金融与银行 间谍软件 阿联酋 骗局