Firma Datadog Security Labs wykryła kampanię cyberprzestępczą, w której skradziono ponad 390 000 danych logowania do WordPressa. Przestępcy wykorzystali obecnie już usunięte repozytorium (github[.]com/hpc20235/yawpp), które podszywało się pod narzędzie do publikacji postów w WordPressie. Za atakiem stoi grupa oznaczona jako MUT-1244 (MUT - mysterious unattributed threat).
Atakujący stosowali dwie główne metody działania:
- Złośliwe repozytorium wykorzystujące interfejs XML-RPC WordPressa
- Kampanie phishingowe nakłaniające do uruchomienia fałszywych aktualizacji
Szkodliwe oprogramowanie było dostarczane czterema kanałami:
- Plik konfiguracyjny kompilacji z tylną furtką
- Złośliwy ładunek ukryty w pliku PDF
- Dropper napisany w Pythonie
- Dołączenie złośliwego pakietu npm "0xengine/meow"
Złośliwy pakiet npm @0xengine/xmlrpc pozostawał aktywny przez ponad rok i został pobrany około 1790 razy. Celem ataków byli głównie testerzy penetracyjni i badacze bezpieczeństwa. Wykradzione dane obejmowały klucze SSH, dane dostępowe do AWS oraz historię poleceń. Wszystkie przechwycone informacje były przesyłane na konto Dropbox kontrolowane przez przestępców.
Źródło:
https://thehackernews.com/2024/12/390000-wordpress-credentials-stolen-via.html