黑客发起持续近一年大规模行动，窃取超 39 万个 WordPress 登录凭证

近日消息显示，一个名为MUT-1244的威胁行为者通过近一年的行动，成功窃取了超过39万个WordPress登录凭证。这些凭证是通过携带木马的WordPress凭证检查器盗取的，而其目标则是其他网络攻击者。

根据Datadog Security Labs研究人员的消息，这些攻击者还盗取了SSH私钥和AWS访问密钥，受害者包括了红队成员、渗透测试专家、安全研究人员以及其他恶意行为者。

攻击者通过多个带有木马的GitHub仓库来传播恶意概念验证（PoC）代码，他们利用已知漏洞实施攻击，并试图进行钓鱼攻击，引诱目标安装假冒的CPU微代码更新作为内核升级。

一旦受害者执行了恶意命令，钓鱼邮件就会成功诱骗他们。虚假的GitHub仓库吸引了众多安全研究人员和攻击者，他们希望获取针对特定漏洞的利用代码。

这些伪造的概念验证代码之前曾经用来攻击研究人员，主要目的是窃取他们的研究成果或通过网络渗透进入安全公司内部。

研究人员指出：“由于命名问题，这些仓库常常会被一些合法的威胁情报平台（如Feedly和Vulnmon）自动收录为概念验证仓库，这样的做法使得这些仓库看起来更加可信，也增加了它们被使用的可能性。”

攻击者采用了多种手段往GitHub仓库中注入恶意软件，其中包括后门化的配置文件、恶意PDF文档、Python下马器以及带有恶意代码的npm包。

Datadog Security Labs的研究发现，这一攻击活动类似于Checkmarkx公司在11月份的一起供应链攻击事件，后者利用“hpc20235/yawp”GitHub项目传播恶意代码，并通过“0xengine/xmlrpc”npm包来窃取数据并进行Monero加密货币挖矿。

根据了解，这次攻击中的恶意软件不仅包含了加密货币挖矿程序，还有后门，帮助MUT-1244窃取SSH密钥、AWS凭证以及其他敏感信息。第二阶段的恶意载荷会将数据泄露至Dropbox和file.io等文件共享平台，这样，攻击者就可以轻松地访问这些信息，而这些信息已经被硬编码。

Datadog Security Labs估计，仍有数百个系统受到感染，这一攻击活动依然在持续中。

广告声明：文内涵盖的外部跳转链接（包括但不限于超链接、二维码、口令等形式）旨在提供更多信息，为您节省挑选时间，结果仅供参考。