Замаскированная малварь c GitHub и npm привела к краже 390 000 учетных данных

Эксперты Checkmarx и Datadog Security Labs выявили сложную атаку на цепочку поставок, которая длится уже более года.

Злоумышленники размещают на GitHub фальшивые PoC-эксплоиты и инструменты для проверки учетных записей, заражая машины исследователей и других хакеров бэкдором для кражи приватных ключей SSH, ключей AWS и другой конфиденциальной информации. Также на машины жертв устанавливался майнер для добычи криптовалюты Monero.

Специалисты из Datadog отслеживают стоящую за этими атаками хак-группу как MUT-1244 (где MUT расшифровывается как «Mysterious unattributed threat» — «Загадочная неизвестная угроза»).

Впервые атаки MUT-1244 были замечены исследователями Checkmarx, которые обнаружили пакет @0xengine/xmlrpc, доступный в npm с октября 2023 года. Исходно этот пакет не представлял угрозы и предлагал jаvascript-имплементацию XML-RPC и клиентскую реализацию для Node.js.

Однако со временем этот пакет постепенно превратился в малварь с сильно обфусцированным кодом, скрытом в одном из компонентов. При этом за год @0xengine/xmlrpc был загружен около 1790 раз и получил 16 безобидных обновлений, чтобы создать у пользователей впечатление, что это безвредная и легитимная библиотека.

«Сочетание регулярных обновлений, легитимной на первый взгляд функциональности и стратегического использования зависимостей способствовало необычно долгому пребыванию пакета в экосистеме npm, намного превышавшему обычный срок жизни вредоносных пакетов, которые обычно обнаруживаются и удаляются в течение нескольких дней», — пишут специалисты Checkmarx.

Другой вредоносный пакет хакеров — yawpp был обнаружен на GitHub (https://github[.]com/hpc20235/yawpp). Этот пакет представлял собой инструмент для проверки действительности учетных данных WordPress. В его коде не было малвари, однако он требовал использования вредоносного @0xengine/xmlrpc в качестве зависимости, что приводило к его автоматической установке.

В итоге малварь закреплялась во взломанной системе и запускалась при каждой перезагрузке зараженной машины, маскируясь под легитимную службу Xsession.auth. Каждые 12 часов Xsession.auth инициировала сбор конфиденциальной информации, включая:

Затем собранные данные либо загружались в Dropbox, либо на file.io.

Как рассказали аналитики Datadog, для распространения малвари среди жертв MUT-1244 использовала разные тактики.

Один из способов был связан с набором из 49 вредоносных записей на GitHub, которые публиковали фальшивые эксплоиты для различных уязвимостей. Большинство этих аккаунтов были созданы в октябре и ноябре 2024 года, а фотографии в их профилях были сгенерированы при помощи ИИ.

Пакеты с PoC-эксплоитами часто привлекают внимание злоумышленников, а также пентестеров и ИБ-исследователей, которые хотят лучше понять масштабы уязвимостей, а также разобраться в способах их эксплуатации и устранения.

Хуже того, некоторые из вредоносных пакетов оказались автоматически включены в легитимные источники (например, Feedly Threat Intelligence и Vulnmon), где их перечисляли как реальные PoC-эксплоиты.

Вторым вектором распространения стали фишинговые письма. Участники MUT-1244 использовали фишинговый шаблон и разослали письма на 2758 email-адресов, которые взяли с сайта arXiv, которым часто пользуются профессионалы и академические исследователи. Группа допустила ошибку, оставив это фишинговый шаблон и адреса в открытом доступе.

Письма хакеров, отправленные в период с 5 по 21 октября, были адресованы людям, которые разрабатывают или исследуют ПО для высокопроизводительных вычислений. Им предлагали установить обновление микрокода ЦП, которое якобы должно значительно улучшить производительность.

В результате @0xengine/xmlrpc позволил злоумышленникам похитить около 390 000 учетных данных с зараженных компьютеров. По данным Datadog, эти учетные данные использовались для входа в административные учетные записи сайтов под управлением WordPress.

«Учитывая, что MUT-1244 рекламировала yawpp как “средство проверки учетных данных” WordPress, неудивительно, что злоумышленник с набором ворованных учетных данных (которые часто покупаются на подпольных маркетплейсах для ускорения мошеннических операций) использовал yawpp для их проверки», — отмечают эксперты.

Конечные цели MUT-1244 пока остаются неясными. Вряд ли целью хакеров была именно добыча криптовалюты (ведь для этого не требовалось нацеливать кампанию на ИБ-экспертов и других хакеров). Если же целью атаки были именно специалисты и злоумышленники, то не совсем ясно, зачем MUT-1244 понадобилось майнить криптовалюту.

Замаскированная малварь c GitHub и npm привела к краже 390 000 учетных данных - «Новости»