Cuộc tấn công này được thực hiện thông qua trojan trong các kho GitHub, nơi cung cấp các PoC (proof of concept) chứa mã độc nhắm vào lỗ hổng an ninh đã biết. Các email lừa đảo được sử dụng để lừa các nạn nhân cài đặt phần mềm độc hại, giả dạng như là một bản cập nhật vi mã CPU. Các kho này giả mạo có vẻ hợp lệ để lừa đảo các chuyên gia bảo mật và tin tặc có nhu cầu tìm kiếm mã khai thác cho những lỗ hổng cụ thể.

Theo các nhà nghiên cứu, nhiều nạn nhân đã vô tình tải và chạy các kho này do chúng được lấy từ các nguồn đáng tin cậy như Feedly Threat Intelligence và Vulnmon và được trình bày như các PoC hợp lệ. Mã độc được tải về thông qua nhiều phương pháp khác nhau, bao gồm các tệp cấu hình bị backdoor, tệp PDF độc hại, script Python và các gói npm có hại. Một phần chiến dịch này trùng với vụ tấn công chuỗi cung ứng kéo dài một năm trước đó.

Mã độc còn giúp nhóm tấn công MUT-1244 thu thập và gửi dữ liệu đến các dịch vụ chia sẻ tệp như Dropbox và file.io, sử dụng các thông tin đăng nhập được lập trình sẵn. Các nhà nghiên cứu từ Datadog Security Labs đã xác định rằng hơn 390.000 thông tin đăng nhập đã bị di chuyển đến Dropbox. Các tin tặc ban đầu đã sử dụng công cụ CHECK của MUT-1244 để xác nhận tính hợp lệ của các thông tin này, phần lớn chúng mua từ chợ đen.

Nhóm tin tặc đã thành công lợi dụng lòng tin trong cộng đồng an ninh mạng để xâm nhập vào hệ thống của nhiều chuyên gia bảo mật và tin tặc. Hành động này đã dẫn đến việc đánh cắp nhiều dữ liệu quan trọng như khóa SSH, thông tin AWS, và lịch sử lệnh. Các hệ thống bị ảnh hưởng vẫn tiếp tục bị tấn công trong khi chiến dịch này đang diễn ra.

The post Hơn 390.000 tài khoản WordPress bị đánh cắp do tấn công chuỗi cung ứng appeared first on Nhật Phúc.

Theo phát hiện của các nhà nghiên cứu tại Datadog Security Labs, các cuộc tấn công không chỉ dừng lại ở việc đánh cắp thông tin WordPress mà còn thao túng để lấy cắp cả khóa SSH, và các khóa truy cập AWS từ hệ thống của hàng trăm nạn nhân khác. Những nạn nhân này dường như đã bị lừa vào việc chạy những đoạn mã khai thác chứng minh khái niệm (PoC) độc hại, được phát tán qua hàng chục kho GitHub cài mã độc.

Các thư viện giả mạo trên GitHub được tận dụng để phát tán tải trọng độc hại thông qua các tệp cấu hình backdoor, tệp PDF độc hại, thư viện Python, và các gói npm chứa mã độc. Một chiến dịch tấn công tương tự được Checkmarkx báo cáo vào tháng 11 năm trước, cho thấy các kẻ tấn công đã dùng mã độc “hpc20235/yawp” để lạm dụng gói “0xengine/xmlrpc” nhằm trộm dữ liệu và đào tiền điện tử Monero. Các mã độc này bao gồm một thợ đào tiền điện tử và một backdoor hỗ trợ thu thập và gửi các khóa SSH cá nhân cùng dữ liệu khác đi.

Vào thời điểm thông tin đăng nhập được chuyển đến Dropbox, các nghiên cứu của Datadog Security Labs chứng minh rằng MUT-1244 đã có trong tay gần 390,000 thông tin đăng nhập WordPress. Công cụ kiểm tra thông tin đăng nhập “yawpp,” được quảng cáo như một giải pháp kiểm tra hợp lệ, vô tình trở thành phương tiện cho tin tặc thâm nhập khi các thông tin này thường được mua từ các thị trường chợ đen.

Họ đã thành công trong việc lợi dụng lòng tin trong cộng đồng an ninh mạng, đánh lừa các chuyên gia bảo mật để thực hiện mã độc của mình, dẫn đến việc đánh cắp các khóa SSH, token truy cập AWS và lịch sử lệnh. Đáng báo động hơn, hàng trăm hệ thống đã bị xâm nhập và việc lây nhiễm vẫn tiếp tục.

Trong bối cảnh các cuộc tấn công chuỗi cung ứng trở nên phức tạp và khó lường, sự kiện này nhấn mạnh sự cần thiết của các biện pháp phòng ngừa mạnh mẽ hơn và cảnh giác cao độ trong việc bảo mật thông tin.

The post Tin tặc đánh cắp 390,000 tài khoản WordPress trong cuộc tấn công chuỗi cung ứng appeared first on Nhật Phúc.