Ostatnie wydarzenia związane z narzędziami dostępnymi na GitHub znacząco zwróciły uwagę środowisk zajmujących się bezpieczeństwem cyfrowym. Usunięte już repozytorium na GitHubie, reklamujące narzędzie współpracujące z WordPressem, doprowadziło do wycieku ponad 390 000 danych logowania. Chociaż początkowo użytkownicy widzieli w nim użyteczne narzędzie, okazało się ono być elementem znacznie poważniejszej kampanii cyberataków.
Za złośliwą działalnością stoi grupa określana jako MUT-1244 („tajemniczy niezidentyfikowany zagrożenie”), którą zidentyfikowało Datadog Security Labs. Jej działania obejmują phishing oraz tworzenie zainfekowanych repozytoriów zawierających pozornie nieszkodliwe dowody koncepcji (PoC) dla znanych luk w zabezpieczeniach. Wszystko to działało w celu przechwytywania danych, takich jak klucze SSH, dane logowania do AWS, a także informacji systemowych, często targetując ekspertów ds. bezpieczeństwa, pentesterów czy innych badaczy cyberzagrożeń.
Nie jest tajemnicą, że osoby zajmujące się badaniem luk w zabezpieczeniach stanowią atrakcyjny cel dla zaawansowanych grup zajmujących się cyberprzestępczością, zwłaszcza sponsorowanych przez państwa, takich jak te działające w Korei Północnej. Kompromitacja ich systemów może dostarczyć cennych informacji na temat wykrytych, lecz jeszcze niewyeliminowanych luk bezpieczeństwa, które w dalszej kolejności mogą posłużyć do eskalacji kolejnych ataków.
Na przestrzeni ostatnich lat można zaobserwować rozwój trendu, w którym cyberprzestępcy wykorzystują otwartość platform takich jak GitHub. Tworzą fałszywe profile oraz repozytoria PoC, które na pierwszy rzut oka wyglądają jak użyteczne narzędzia. W rzeczywistości mają na celu wykradanie danych użytkowników lub stosowanie wymuszeń finansowych w zamian za brak eskalacji ataków. MUT-1244 korzysta z tego schematu, wprowadzając kolejne poziomy komplikacji.
Kampania MUT-1244 nie ograniczała się wyłącznie do GitHuba. Wykorzystano również e-maile phishingowe, które działały jako nośnik drugiego ładunku. Wspomniane ataki instalowały oprogramowanie do kopania kryptowalut oraz wykradały dane systemowe, klucze SSH i zmienne środowiskowe. W niektórych przypadkach dane były przesyłane bezpośrednio do zewnętrznych serwisów, takich jak File.io. Jednym z przypadków było repozytorium nazwane „github[.]com/hpc20235/yawpp”, które udostępniało fałszywe narzędzia współpracujące z WordPressem. Repozytorium to zostało usunięte, ale zanim do tego doszło, udało się przejąć setki tysięcy danych logowania użytkowników.
W tym konkretnym przypadku narzędzie zawierało złośliwy moduł npm o nazwie „@0xengine/xmlrpc”. Moduł ten był używany jako serwer i klient XML-RPC dla Node.js, lecz ostatecznie okazało się, że instalował złośliwe oprogramowanie. Co interesujące, moduł był dostępny na platformie npm przez ponad rok, gromadząc około 1 790 pobrań, zanim został wykryty i usunięty. Eksperci ds. bezpieczeństwa twierdzą, że wykorzystane kredencjale były przechwytywane i zapisywane w Dropboxie kontrolowanym przez atakujących.
Innym sposobem pozyskiwania danych było kierowanie e-maili phishingowych do środowisk akademickich. Ofiary były nakłaniane do uruchamiania komend w terminalu, które rzekomo miały wykonać aktualizacje zabezpieczeń, a w rzeczywistości przeprowadzały atak ClickFix na systemach Linux. Była to pierwsza tego typu metoda zidentyfikowana na tej platformie.
MUT-1244 uzupełniło swoje metody o różnorodne drogi dostarczania drugiego etapu złośliwego oprogramowania, w tym:
- Wstrzykiwanie kodu do plików konfiguracyjnych na etapie kompilacji
- Umieszczanie złośliwych ładunków w plikach PDF
- Użycie droppera Pythonowego
- Zawieranie złośliwych paczek npm, takich jak „0xengine/meow”
Podsumowując, działania MUT-1244 pokazują, jak wciąż ewoluują techniki służące do przechwytywania danych i infekowania systemów. Ofiarami najczęściej są eksperci zajmujący się badaniami w obszarze bezpieczeństwa – co jeszcze bardziej podkreśla znaczenie stosowania środków ochronnych przy pracy nad repozytoriami czy narzędziami online. Dla wszystkich zaawansowanych użytkowników zalecane jest zwiększenie czujności i weryfikacja źródeł, z których pobierane są narzędzia.
