[News] Wykradziono 390 tys. danych logowania do WordPressa

[ZiBi]

Firma Datadog Security Labs wykryła kampanię cyberprzestępczą, w której skradziono ponad 390 000 danych logowania do WordPressa. Przestępcy wykorzystali obecnie już usunięte repozytorium (github[.]com/hpc20235/yawpp), które podszywało się pod narzędzie do publikacji postów w WordPressie. Za atakiem stoi grupa oznaczona jako MUT-1244 (MUT - mysterious unattributed threat).

Atakujący stosowali dwie główne metody działania:

• Złośliwe repozytorium wykorzystujące interfejs XML-RPC WordPressa
• Kampanie phishingowe nakłaniające do uruchomienia fałszywych aktualizacji

Szkodliwe oprogramowanie było dostarczane czterema kanałami:

• Plik konfiguracyjny kompilacji z tylną furtką
• Złośliwy ładunek ukryty w pliku PDF
• Dropper napisany w Pythonie
• Dołączenie złośliwego pakietu npm "0xengine/meow"

Złośliwy pakiet npm @0xengine/xmlrpc pozostawał aktywny przez ponad rok i został pobrany około 1790 razy. Celem ataków byli głównie testerzy penetracyjni i badacze bezpieczeństwa. Wykradzione dane obejmowały klucze SSH, dane dostępowe do AWS oraz historię poleceń. Wszystkie przechwycone informacje były przesyłane na konto Dropbox kontrolowane przez przestępców.


Źródło:

Kod [Zaznacz] Expand

https://thehackernews.com/2024/12/390000-wordpress-credentials-stolen-via.html