Một nhóm tin tặc có tên mã MUT-1244 đã thực hiện chiến dịch tấn công quy mô lớn kéo dài một năm, đánh cắp tới hơn 390,000 thông tin đăng nhập WordPress. Trong hành trình này, không chỉ có các tin tặc khác bị ảnh hưởng, mà cả những chuyên gia bảo mật, nhà nghiên cứu an ninh mạng, và các đội ngũ thử nghiệm xâm nhập cũng trở thành nạn nhân. Điểm mấu chốt trong vụ tấn công này nằm ở việc sử dụng một script kiểm tra thông tin đăng nhập WordPress bị trojan hóa, làm công cụ đánh lừa khá tinh vi trong việc xâm nhập vào hệ thống của nạn nhân.
Theo phát hiện của các nhà nghiên cứu tại Datadog Security Labs, các cuộc tấn công không chỉ dừng lại ở việc đánh cắp thông tin WordPress mà còn thao túng để lấy cắp cả khóa SSH, và các khóa truy cập AWS từ hệ thống của hàng trăm nạn nhân khác. Những nạn nhân này dường như đã bị lừa vào việc chạy những đoạn mã khai thác chứng minh khái niệm (PoC) độc hại, được phát tán qua hàng chục kho GitHub cài mã độc.
Các thư viện giả mạo trên GitHub được tận dụng để phát tán tải trọng độc hại thông qua các tệp cấu hình backdoor, tệp PDF độc hại, thư viện Python, và các gói npm chứa mã độc. Một chiến dịch tấn công tương tự được Checkmarkx báo cáo vào tháng 11 năm trước, cho thấy các kẻ tấn công đã dùng mã độc “hpc20235/yawp” để lạm dụng gói “0xengine/xmlrpc” nhằm trộm dữ liệu và đào tiền điện tử Monero. Các mã độc này bao gồm một thợ đào tiền điện tử và một backdoor hỗ trợ thu thập và gửi các khóa SSH cá nhân cùng dữ liệu khác đi.
Vào thời điểm thông tin đăng nhập được chuyển đến Dropbox, các nghiên cứu của Datadog Security Labs chứng minh rằng MUT-1244 đã có trong tay gần 390,000 thông tin đăng nhập WordPress. Công cụ kiểm tra thông tin đăng nhập “yawpp,” được quảng cáo như một giải pháp kiểm tra hợp lệ, vô tình trở thành phương tiện cho tin tặc thâm nhập khi các thông tin này thường được mua từ các thị trường chợ đen.
Họ đã thành công trong việc lợi dụng lòng tin trong cộng đồng an ninh mạng, đánh lừa các chuyên gia bảo mật để thực hiện mã độc của mình, dẫn đến việc đánh cắp các khóa SSH, token truy cập AWS và lịch sử lệnh. Đáng báo động hơn, hàng trăm hệ thống đã bị xâm nhập và việc lây nhiễm vẫn tiếp tục.
Trong bối cảnh các cuộc tấn công chuỗi cung ứng trở nên phức tạp và khó lường, sự kiện này nhấn mạnh sự cần thiết của các biện pháp phòng ngừa mạnh mẽ hơn và cảnh giác cao độ trong việc bảo mật thông tin.
