Se estima que un repositorio de GitHub (ya eliminado), que promocionaba una
herramienta de WordPress, ha permitido la exfiltración de más de 390.000
credenciales.
La actividad maliciosa es parte de una campaña de ataque más amplia llevada a
cabo por un actor de amenazas, denominado MUT-1244 (Mysterious Unattributed
Threat – «Amenaza Misteriosa No Atribuida») por Datadog Security Labs, que
implica phishing y varios repositorios de GitHub troyanizados que albergan
código de prueba de concepto (PoC) para explotar fallas de seguridad
conocidas.
«Se cree que las víctimas son actores ofensivos, incluidos pentesters e
investigadores de seguridad, así como actores de amenazas maliciosas, y se
les exfiltraron datos confidenciales como claves privadas SSH y claves de
acceso de AWS»,
dijeron los investigadores
Christophe Tafani-Dereeper, Matt Muir y Adrian Korn
Las campañas llevadas a cabo por MUT-1244 no solo implican el uso de
repositorios de GitHub troyanizados, sino también correos electrónicos de
phishing, los cuales actúan como un conducto para entregar una carga útil de
segunda etapa capaz de hacer caer un minero de criptomonedas, así como robar
información del sistema, claves SSH privadas, variables de entorno y
contenidos asociados con carpetas específicas.
Uno de esos repositorios era
«github[.]com/hpc20235/yawpp» y contenía dos scripts: uno para
validar las credenciales de WordPress y otro para crear publicaciones
utilizando la API XML-RPC.
Pero la herramienta también albergaba código malicioso en forma de una
dependencia npm no autorizada, un paquete llamado
@0xengine/xmlrpc
que implementaba el malware. Se publicó originalmente en npm en octubre
de 2023 como un servidor y cliente XML-RPC basado en JavaScript para Node.js.
La biblioteca ya no está disponible para descargar.
Vale la pena señalar que la empresa de ciberseguridad Checkmarx reveló el mes
pasado que el paquete npm permaneció activo durante más de un año,
atrayendo alrededor de 1.790 descargas.
Se dice que el proyecto de GitHub yawpp permitió la exfiltración de más
de 390.000 credenciales, probablemente para cuentas de WordPress, a una cuenta
de Dropbox controlada por un atacante al comprometer a actores de amenazas no
relacionados que tenían acceso a estas credenciales a través de medios
ilícitos.
Otro método utilizado para distribuir la carga útil consiste en enviar correos
electrónicos de phishing a académicos en los que se les engaña para que
visiten enlaces que les indican que inicien la terminal y copien y peguen un
comando de shell para realizar una supuesta actualización del kernel.
El descubrimiento marca la primera vez que se documenta un ataque al estilo
ClickFix
contra sistemas Linux.
«Esta táctica implica mostrar mensajes de error falsos en los navegadores web para engañar a los usuarios para que copien y ejecuten un código malicioso de PowerShell determinado, infectando finalmente sus sistemas». En los últimos meses se han informado ampliamente sobre variaciones de la campaña ClickFix (también conocida como ClearFake y OneDrive Pastejacking), en las que los actores de amenazas emplean diferentes señuelos para redirigir a los usuarios a páginas falsas que tienen como objetivo implementar malware instando a los visitantes del sitio a ejecutar un código PowerShell codificado para abordar un supuesto problema con la visualización de contenido en el navegador web.
«El segundo vector de acceso inicial que utiliza MUT-1244 es un conjunto de
usuarios maliciosos de GitHub que publican pruebas de concepto falsas para
CVE», explicaron los investigadores.
«La mayoría de ellos se crearon en octubre o noviembre [de 2024], no tienen
actividad legítima y tienen una foto de perfil generada por IA».
Algunos de estos repositorios PoC falsos
fueron previamente destacados por Alex Kaganovich, jefe global del equipo rojo de seguridad ofensiva de Colgate-Palmolive, a
mediados de octubre de 2024. Pero en un giro interesante, el malware de
segunda etapa se activa de cuatro formas diferentes:
- Archivo de compilación de configuración con puerta trasera
- Carga útil maliciosa incrustada en un archivo PDF
- Uso de un Dropper de Python
- Inclusión de un paquete npm malicioso «0xengine/meow»
«MUT-1244 pudo comprometer el sistema de docenas de víctimas, en su mayoría
miembros del equipo rojo, investigadores de seguridad y cualquier persona
interesada en descargar el código de explotación de PoC», dijeron los investigadores.
«Esto le permitió a MUT-1244 obtener acceso a información confidencial,
incluidas claves SSH privadas, credenciales de AWS e historial de
comandos».
No es de extrañar que los investigadores de seguridad hayan sido un objetivo
atractivo para los actores de amenazas, incluidos los grupos de estados-nación
de Corea del Norte, ya que comprometer sus sistemas podría brindar información
sobre posibles exploits relacionados con fallas de seguridad
no reveladas en las que pueden estar trabajando, que luego podrían
aprovecharse para organizar más ataques.
En los últimos años, ha surgido una tendencia en la que los atacantes intentan sacar provecho de las revelaciones de vulnerabilidades para crear repositorios de
GitHub utilizando perfiles falsos que afirman albergar PoC para las fallas,
pero en realidad están diseñados para llevar a cabo robos de datos e incluso
exigir un pago a cambio del exploit.
Fuente:
THN