Kritische GitHub-Kampagne zielt auf Sicherheitsforscher – Über 390.000 Systeme kompromittiert

CyberSecureFox 🦊

Eine hochentwickelte Cyber-Angriffskampagne, die seit über einem Jahr aktiv ist, hat gezielt Sicherheitsforscher und Hacker ins Visier genommen. Die von Checkmarx und Datadog Security Labs aufgedeckte Operation nutzt die populäre Entwicklungsplattform GitHub als Verteilungsweg für komplexe Malware.

Sophistizierte Malware tarnt sich als legitimes npm-Paket

Im Zentrum der Attacke steht das npm-Paket @0xengine/xmlrpc, das seit Oktober 2023 verfügbar ist. Was ursprünglich als legitimes XML-RPC-Tool erschien, entwickelte sich durch 16 Updates zu einer ausgeklügelten Malware. Mit etwa 1.790 Downloads konnte sich das kompromittierte Paket erfolgreich als vertrauenswürdige Bibliothek tarnen.

Zwei-Vektor-Angriffsstrategie der Hackergruppe MUT-1244

Die als MUT-1244 (Mysterious unattributed threat) identifizierte Hackergruppe setzte auf eine duale Angriffsstrategie: Einerseits wurden 49 gefälschte GitHub-Accounts zur Verbreitung manipulierter Exploit-Codes eingerichtet. Andererseits starteten die Angreifer eine gezielte Phishing-Kampagne, die sich an 2.758 Forscher und Entwickler im Bereich High-Performance-Computing richtete.

Massive Datenkompromittierung durch getarnte Malware

Die als Xsession.auth getarnte Schadsoftware führte alle 12 Stunden automatisierte Datenexfiltrationen durch. Dabei wurden SSH-Schlüssel, AWS-Zugangsdaten und weitere sensitive Informationen von den befallenen Systemen abgegriffen. Nach Analysen von Datadog wurden etwa 390.000 Zugangsdaten kompromittiert.

Technische Analyse der Angriffsmethodik

Besonders raffiniert war die Verschleierung der Malware durch das Paket yawpp, das als WordPress-Credential-Checker beworben wurde. Durch die Abhängigkeit von @0xengine/xmlrpc erfolgte die Malware-Installation automatisch. Die erbeuteten Daten wurden über Dropbox und file.io exfiltriert. Parallel betrieben die Angreifer Monero-Mining auf den kompromittierten Systemen.

Diese Kampagne zeigt eine besorgniserregende neue Dimension von Supply-Chain-Angriffen auf die Cybersicherheits-Community. Experten empfehlen dringend erhöhte Wachsamkeit bei der Nutzung von Drittanbieter-Tools sowie gründliche Überprüfungen aller Abhängigkeiten, besonders im Umgang mit Proof-of-Concept Exploits. Die Kombination aus gezielter Datenexfiltration und Kryptomining deutet auf strategische Langzeitziele der Angreifer hin.

Schreibe einen Kommentar

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.