Un recente attacco informatico ha visto il furto di oltre 390.000 credenziali di WordPress attraverso un repository GitHub malevolo, che millantava di offrire strumenti legittimi per la gestione dei contenuti online. Questa campagna è stata orchestrata da un attore minaccioso noto come MUT-1244, come riferito da Datadog Security Labs. L'attacco sfrutta tecniche di phishing e repository GitHub compromessi che ospitano codice proof-of-concept (PoC) trojanizzato.

Le vittime principali di questa operazione sono attori offensivi, tra cui pentester e ricercatori di sicurezza, oltre a malintenzionati che hanno visto esfiltrare dati sensibili come chiavi SSH private e chiavi di accesso AWS. Questo evidenzia il continuo interesse degli hacker verso i ricercatori di sicurezza, in quanto compromettere i loro sistemi potrebbe fornire informazioni preziose su vulnerabilità non ancora divulgate.

Negli ultimi anni, si è osservata una tendenza crescente in cui gli attaccanti cercano di sfruttare le divulgazioni di vulnerabilità creando false repository GitHub. Questi profili fraudolenti spesso pretendono di ospitare PoC per vulnerabilità note, ma in realtà sono progettati per rubare dati e, talvolta, richiedere un pagamento per l'exploit.

La campagna di MUT-1244 non si limita ai repository GitHub trojanizzati ma include anche email di phishing. Queste tecniche servono a distribuire un payload di seconda fase capace di installare un miner di criptovalute e rubare informazioni di sistema, chiavi SSH private, variabili d'ambiente e contenuti di specifiche cartelle. Un esempio di repository malevolo era "github[.]com/hpc20235/yawpp", che prometteva di essere "Yet Another WordPress Poster". Conteneva due script per validare le credenziali WordPress e creare post utilizzando l'API XML-RPC, ma includeva anche codice malevolo tramite una dipendenza npm fasulla.

Il pacchetto npm sospetto, "@0xengine/xmlrpc", pubblicato originariamente nell'ottobre 2023, è stato rimosso dalla piattaforma, ma era stato scaricato circa 1.790 volte. La compromissione ha permesso l'esfiltrazione di oltre 390.000 credenziali verso un account Dropbox controllato dagli attaccanti, colpendo altri attori minacciosi che avevano accesso a queste credenziali per vie illecite.

Datadog ha utilizzato la propria telemetria e condivisione di intelligence con un fornitore terzo per determinare il numero di credenziali esposte. Oltre ai repository GitHub, l'attacco coinvolge anche email di phishing che inducono le vittime a eseguire comandi per un falso aggiornamento del kernel, segnando la prima documentazione di un attacco di tipo ClickFix contro sistemi Linux.

I repository PoC fasulli creati dai malintenzionati MUT-1244 sono stati per lo più generati tra ottobre e novembre 2024, con profili generati da IA e senza attività legittima. Questa operazione ha compromesso molti sistemi di team di sicurezza e ricercatori, consentendo l'accesso a informazioni sensibili come chiavi SSH private e credenziali AWS.