GitHub PoC 익스플로잇으로 390,000개의 WordPress 자격 증명을 훔쳤습니다.

MUT-1244로 알려진 위협 행위자는 보안 연구원, 레드팀, 심지어 기타 악의적인 행위자를 표적으로 삼아 1년에 걸쳐 캠페인을 벌였습니다. 공격자는 트로이 목마가 포함된 PoC(개념 증명) 코드를 사용하여 악성 코드를 전달하고 손상된 시스템에서 중요한 데이터를 훔쳤습니다. Datadog Security Labs는 MUT-1244가 피해자 시스템에 접근하기 위해 다양한 방법을 사용한다는 사실을 발견했습니다.

여기에는 고성능 컴퓨팅(HPC)을 연구하는 학자들을 표적으로 삼고 알려진 취약점에 대한 PoC로 위장한 가짜 GitHub 저장소를 만드는 피싱 캠페인이 포함되었습니다. 악성 저장소에는 이를 다운로드하고 실행한 사용자를 감염시키는 숨겨진 코드가 포함되어 있었습니다. 공격자가 사용한 기술에는 백도어 구성 파일, 악성 PDF, Python 드로퍼 스크립트, 숨겨진 npm 패키지가 포함되었습니다.

PoC를 통한 보안 연구원 타겟팅

한 가지 중요한 사실은 “yawpp”라는 트로이 목마 도구를 사용하여 390,000개 이상의 WordPress 자격 증명을 훔친 것입니다. 이 도구는 합법적인 WordPress 자격 증명 검사기로 광고되어 사용자를 속이는 데 효과적입니다. 이 문제에 대해 Bugcrowd의 전문가는 “가짜 PoC를 통해 레드팀과 보안 연구원을 표적으로 삼는 것은 알려진 기술이지만 워터링 홀 공격에는 여전히 효과적입니다.”라고 말했습니다. 전문가는 공격적인 보안 서비스를 제공하는 사람들이 악용 가능한 공급망을 인식해야 한다고 강조했습니다.

MUT-1244의 궁극적인 목표는 암호화폐 채굴기, 백도어 시스템을 업데이트하고 개인 SSH 키, AWS 액세스 키 및 환경 변수와 같은 민감한 정보를 유출하는 페이로드를 제공하는 것이었습니다. Checkmarx 연구원들은 정기적인 업데이트, 합법적인 것처럼 보이는 기능 및 전략적 종속성 배치의 조합으로 인해 악성 npm 패키지가 1년 넘게 레지스트리에서 감지되지 않은 상태로 유지될 수 있었다고 지적했습니다. Datadog과 Checkmarx는 모두 잠재적 피해자가 캠페인의 영향을 받았는지 확인하는 데 도움이 되는 침해 지표를 공유했습니다.

이 발견은 사이버 보안 전문가가 직면한 지속적인 위협을 강조하고 잠재적으로 위험한 코드 및 저장소를 처리할 때 지속적인 경계와 엄격한 보안 조치의 필요성을 강조합니다.