Executando verificação de segurança...
2
NewsletterOficial
2 min de leitura ·

Ataque expõe mais de 390 mil credenciais do WordPress

Pesquisadores de segurança atribuíram o incidente a um agente de ameaças identificado como “MUT-1244”, onde “MUT” refere-se a “ameaça misteriosa não atribuída”. A campanha, que se estendeu por um ano, teve como alvos outros agentes de ameaças e utilizou um verificador de credenciais comprometido. Além das credenciais roubadas, foram exfiltradas chaves privadas SSH e de acesso AWS de sistemas de centenas de vítimas, incluindo pesquisadores de segurança e agentes mal-intencionados.

O ataque foi conduzido por meio de repositórios GitHub trojanizados, que distribuíam exploits maliciosos de prova de conceito (PoC) direcionados a falhas de segurança conhecidas. Esses repositórios operavam em conjunto com campanhas de phishing, que enganavam as vítimas ao solicitar a instalação de uma falsa atualização de kernel, apresentada como uma atualização de microcódigo de CPU. Enquanto os e-mails de phishing levavam as vítimas a executar comandos para instalar o malware, os repositórios falsos atraíam profissionais de segurança e cibercriminosos que buscavam códigos de exploração para vulnerabilidades específicas.

Entre os repositórios utilizados, destaca-se o “/hpc20235/yawpp”. Seus scripts validavam credenciais do WordPress e criavam postagens por meio da API XML-RPC. No entanto, o repositório também continha código malicioso, incorporado como uma dependência npm comprometida chamada “@0xengine/xmlrpc”. Publicado originalmente no npm em outubro de 2023, o pacote se apresentava como um servidor e cliente XML-RPC baseado em JavaScript para Node.js. A biblioteca já foi removida da plataforma. O malware instalado nessas operações incluía um minerador de moedas digitais e um backdoor, que permitiam ao MUT-1244 coletar e exfiltrar chaves SSH privadas, credenciais AWS, variáveis de ambiente e conteúdos de diretórios críticos, como “~/.aws”.

Os dados roubados foram enviados para serviços de compartilhamento de arquivos, como Dropbox e file.io. De acordo com os pesquisadores, antes de serem exfiltradas para o Dropbox, as credenciais já estavam em posse de outros atores maliciosos, provavelmente adquiridas por meios ilícitos. Estima-se que centenas de sistemas ainda estejam comprometidos, com novos alvos sendo infectados como parte da campanha em andamento.

Informações adicionais: The Hacker News

Fonte: https://www.bleepingcomputer.com/news/security/390-000-wordpress-accounts-stolen-from-hackers-in-supply-chain-attack/

Carregando publicação patrocinada...