1년에 걸친 공급망 공격으로 WordPress 자격 증명 도난

지난 1년간 진행된 정교하고 지속적인 공급망 공격은 GitHub 및 NPM의 오픈 소스 소프트웨어의 트로이 목마 버전을 감염시켜 악의적인 보안 담당자와 자비로운 보안 담당자 모두의 민감한 로그인 자격 증명을 훔쳐 왔다고 연구원들이 밝혔습니다. 보안 회사 Checkmarx가 3주 전에 처음 보고했고 Datadog이 금요일에 다시 보고한 이 캠페인은 보안 및 기타 기술 분야 연구원의 장치를 감염시키기 위해 다양한 경로를 사용합니다. 한 가지 벡터는 1년 넘게 오픈 소스 저장소에서 사용 가능한 패키지를 통한 것입니다.

이러한 패키지는 세심한 주의를 기울여 자신의 존재를 숨기는 전문적으로 개발된 백도어를 설치합니다. 캠페인 배후에 있는 알려지지 않은 위협 행위자는 arXiv 플랫폼에 논문을 게시하는 수천 명의 연구원을 표적으로 삼는 스피어 피싱도 사용했습니다. 위협 행위자의 목표는 다양합니다.

하나는 12시간마다 감염된 장치에서 SSH 개인 키, Amazon Web Services 액세스 키, 명령 기록 및 기타 민감한 정보를 수집하는 것입니다. 보고서가 공개되었을 때 수십 대의 컴퓨터가 감염된 채로 남아 있었고 Dropbox의 온라인 계정에는 공격자가 동료 악의적인 공격자로부터 훔친 것으로 추정되는 WordPress 웹사이트에 대한 약 390,000개의 자격 증명이 포함되어 있었습니다. 캠페인에 사용된 악성코드는 지난달 기준 최소 68대의 컴퓨터에 존재하는 암호화폐 채굴 소프트웨어도 설치합니다.

Datadog 연구원들은 MUT-1244라는 그룹을 지정했습니다. MUT는 “신비한 원인이 없는 위협”을 뜻합니다. 이 캠페인은 Checkmarx가 2023년 10월부터 NPM JavaScript 저장소에 배포된 패키지인 @0xengine/xmlrpc를 발견했을 때 처음으로 밝혀졌습니다. 처음에는 XML-RPC 프로토콜의 JavaScript 구현을 제공하는 양성 패키지였던 @0xengine/xmlrpc가 천천히 발전하여 시간이 지남에 따라 구성 요소 중 하나에 숨겨져 있는 매우 난독화된 코드를 도입하여 악성 코드를 차단합니다. 처음 12개월 동안 패키지는 16개의 업데이트를 받았고, 이는 온화하고 합법적인 라이브러리라는 인상을 남겼습니다.

MUT-1244는 GitHub에서 사용할 수 있는 yawpp라는 두 번째 패키지로 @0xengine/xmlrpc를 보완했습니다. WordPress 자격 증명 확인 및 콘텐츠 게시를 위한 도구인 것처럼 보이는 이 패키지는 종속성으로 @0xengine/xmlrpc가 필요할 때 악성으로 만들어졌습니다. 결과적으로 악성 패키지가 자동으로 설치되어 NPM 생태계에서 수명이 길어졌습니다.

@0xengine/xmlrpc 패키지의 악성 기능은 특정 벡터를 통해 활성화될 때까지 휴면 상태로 유지되었습니다.

은밀한 공급망 악성코드 캠페인 상세

직접 패키지 사용자는 ‘–targets’ 또는 ‘-t’ 플래그를 사용하여 명령을 실행하여 패키지의 유효성 검사 기능을 실행할 때 악성 코드를 활성화할 수 있습니다.

또는 GitHub에서 “yawpp” WordPress 도구를 설치하는 사용자는 자동으로 악성 패키지를 종속성으로 수신하여 yawpp의 기본 스크립트를 통해 악성 코드 활성화를 트리거합니다. 악성코드는 Xsession.auth라는 합법적인 세션 인증 서비스로 위장하여 지속성을 유지했습니다. Xsession.auth는 12시간마다 SSH 키, 명령 기록, 시스템 구성 및 네트워크 정보를 포함한 중요한 시스템 정보를 체계적으로 수집합니다.

도난당한 데이터는 Dropbox나 file.io와 같은 온라인 스토리지 서비스에 업로드되었습니다. Datadog은 2단계 악성 코드를 설치하는 데 사용된 MUT-1244의 추가 방법을 공개했습니다. 여기에는 보안 취약점에 대한 트로이 목마 개념 증명 익스플로잇과 함께 GitHub에 게시된 최소 49개의 악성 항목이 포함되었습니다.

또 다른 주요 벡터는 고성능 컴퓨팅 연구자들에게 가짜 CPU 마이크로코드 업데이트를 설치하도록 유도하는 스피어 피싱 이메일이었습니다. 10월 5일부터 10월 21일 사이에 전송된 피싱 이메일은 arXiv에서 스크랩한 2,758개의 이메일 주소로 전달되었습니다. 합법성을 더욱 높이기 위해 여러 악성 패키지가 Feedly Threat Intelligence 및 Vulnmon과 같은 합법적인 소스에 자동으로 포함되어 의심하지 않는 사용자가 실행할 가능성을 높였습니다.

공격자는 @0xengine/xmlrpc를 사용하여 감염된 시스템에서 약 390,000개의 자격 증명을 훔칠 수 있었습니다. Datadog은 이러한 자격 증명이 WordPress 웹사이트의 관리 계정에 로그인하기 위한 것임을 확인했습니다. 캠페인의 수명, 정확성 및 백도어의 전문적인 품질은 MUT-1244가 숙련되고 결단력 있는 위협 행위자임을 나타냅니다.

그러나 그룹은 피싱 이메일 템플릿과 주소를 공개적으로 액세스할 수 있도록 남겨 두는 실수를 저질렀습니다. 암호화폐 채굴과 연구자 표적으로 결합하는 것은 다소 모순된 의제를 제시하기 때문에 공격자의 궁극적인 동기는 여전히 불분명합니다. Checkmarx와 Datadog에는 잠재적인 대상이 영향을 받았는지 확인할 수 있는 표시기가 포함되어 있습니다.