黑客发起持续近一年大规模行动，窃取超 39 万个 WordPress 登录凭证

本站 12 月 16 日消息，据 BleepingComputer 上周六报道，威胁行为者 MUT-1244 通过一项持续近一年的大规模行动，窃取了超过 39 万个 WordPress 登录凭证。这些凭证是通过一个带有木** WordPress 凭证检查器盗取的，目标是其他网络攻击者。

报道援引 Datadog Security Labs 研究人员的消息称，除了 WordPress 凭证外，SSH 私钥和 AWS 访问密钥也被盗取，受害者包括红队成员、渗透测试专家、安全研究人员及其他恶意行为者。

攻击者通过数十个木马化的 GitHub 仓库将恶意概念验证（PoC）代码传播出去，利用已知漏洞进行攻击，同时还发起了钓鱼攻击，诱使目标安装伪装成 CPU 微代码更新的假内核升级。

钓鱼邮件诱骗受害者执行了恶意命令，虚假的 GitHub 仓库则吸引了安全研究人员和攻击者，这些人希望获取针对特定漏洞的利用代码。

这些伪造的概念验证代码早前也曾被用于针对研究人员，目的是盗取他们的研究成果或通过网络渗透进入安全公司内部。

研究人员表示：“这些仓库由于命名问题，自动被一些合法的威胁情报平台如 Feedly 和 Vulnmon 收录，作为概念验证仓库使用，这使得它们看起来更可信，增加了有人使用它们的概率。”

攻击者通过多种方式将恶意软件注入 GitHub 仓库，包括后门化的配置文件、恶意 PDF 文件、Python 下马器和恶意 npm 包等。

前述机构 Datadog Security Labs 发现，这一攻击活动与 Checkmarkx 公司 11 月报告中的一起供应链攻击类似，后者使用“hpc20235 / yawp”GitHub 项目传播恶意代码，通过“0xengine / xmlrpc”npm 包窃取数据并挖掘 Monero 加密货币。

据本站了解，在这次攻击中，恶意软件不仅包含加密货币挖矿程序，还有后门，帮助 MUT-1244 窃取 SSH 密钥、AWS 凭证及其他敏感信息。第二阶段的恶意载荷将数据外泄到 Dropbox 和 file.io 等文件共享平台，攻击者通过硬编码的凭证轻松访问这些信息。

Datadog Security Labs 估计，数百个系统仍然受到感染，这一活动仍在继续。