- Исследователи обнаружили в NPM вредоносный пакет, загруженный год назад
- Первоначально он был безвреден, но позже в обновлении появилось вредоносное ПО.
- Вредоносная программа похитила сотни тысяч секретов и установила криптоджекеры на десятки компьютеров.
Уже около года хакеры заражают членов красной команды, тестеров на проникновение, исследователей безопасности и других хакеров вредоносным ПО, которое крадет учетные данные WordPress и другие конфиденциальные данные и устанавливает криптомайнеры на скомпрометированные конечные точки.
В результате были украдены учетные данные примерно 390 000 учетных записей WordPress, а десятки систем были обнаружены для майнинга Monero.
Исследователи кибербезопасности Datadog Security Labs обнаружили атаку на репозиторий пакетов NPM и GitHub после того, как исследователи Checkmarx также недавно подняли тревогу в связи с той же кампанией.
Пакет заявлен как реализация XML-RPC и впервые был загружен в репозиторий в октябре 2023 года. Он получил 16 обновлений до ноября 2024 года, когда наконец выяснилось, что он вредоносный.
Прежде всего законный
Datadog обнаружила, что злоумышленники действовали тактично и изначально загрузили законный пакет, который работал по назначению. Вредоносный код был представлен в более поздних версиях и был разработан для кражи SSH-ключей, истории bash и других данных каждые 12 часов. Собранные данные будут извлечены через Dropbox или File.io.
Что еще хуже, исследователи и эксперты по безопасности, которые внедрят XML-RPC в свои собственные продукты, только расширят сферу действия вредоносного ПО и превратят его в полномасштабную атаку на цепочку поставок.
Datadog сообщила, что в конечном итоге команда обнаружила 68 скомпрометированных систем, которые активно майнили валюту Monero. Monero с тикером XMR чаще всего добывается с помощью криптоджекера XMRig. Это популярная валюта среди воров, поскольку она полностью анонимна и ее очень сложно выследить.
Личности злоумышленников не установлены, но исследователи назвали группу MUT-1224, что означает «Таинственная неатрибутивная угроза».
Исследователи пришли к выводу, что крупные репозитории кода остаются важной платформой для киберпреступников, и подчеркнули, что разработчикам следует быть особенно осторожными при использовании программного обеспечения с открытым исходным кодом.
Над ПипКомпьютер
Вам также может понравиться это
