Eine hochkomplexe Cyberattacke, die sich gezielt gegen Sicherheitsforscher und Ethical Hacker richtet, wurde von Experten der Unternehmen Checkmarx und Datadog Security Labs aufgedeckt. Die als MUT-1244 identifizierte Angreifergruppe führt seit über einem Jahr eine ausgeklügelte Supply-Chain-Attacke durch, bei der gefälschte Proof-of-Concept (PoC) Exploits und manipulierte Entwicklertools zum Einsatz kommen.
Kompromittierung über manipulierte NPM-Pakete
Im Zentrum der Angriffskampagne steht das npm-Paket @0xengine/xmlrpc, das im Oktober 2023 veröffentlicht wurde. Was zunächst als legitimes XML-RPC-Modul für Node.js erschien, entwickelte sich durch 16 Updates zu einer komplexen Malware. Mit etwa 1.790 Downloads konnte das Paket durch geschickte Code-Verschleierung lange unentdeckt bleiben.
Ausgefeilte Social-Engineering-Taktiken
Die Angreifer erstellten ein weitverzweigtes Netzwerk aus 49 gefälschten GitHub-Profilen, die mit KI-generierten Profilbildern ausgestattet wurden. Diese Profile dienten der Verbreitung vermeintlich funktionierender Exploits für bekannte Sicherheitslücken. Parallel dazu wurde eine gezielte Phishing-Kampagne durchgeführt, die 2.758 Forscher und Entwickler im Bereich High-Performance Computing ins Visier nahm.
Schwerwiegende Folgen der Infektion
Nach erfolgreicher Kompromittierung installiert die Malware eine getarnte Backdoor unter dem Namen Xsession.auth. Diese sammelt in 12-stündigen Intervallen sensible Daten wie SSH-Schlüssel, AWS-Zugangsdaten und weitere vertrauliche Informationen. Datadog zufolge wurden bereits etwa 390.000 Zugangsdaten kompromittiert.
Integration in legitime Threat Intelligence Feeds
Besonders besorgniserregend ist die Tatsache, dass einige der schadhaften Komponenten Eingang in etablierte Vulnerability Feeds wie Feedly Threat Intelligence und Vulnmon fanden. Dies unterstreicht die ausgeklügelte Vorgehensweise der Angreifer bei der Verschleierung ihrer Aktivitäten.
Die Installation eines Monero-Miners als Teil der Kampagne erscheint angesichts der hochspezialisierten Zielgruppe untypisch und könnte auf weiterreichende, bisher unerkannte Ziele hindeuten. Sicherheitsexperten empfehlen dringend, PoC-Exploits nur aus vertrauenswürdigen Quellen zu beziehen und Paketabhängigkeiten vor der Installation gründlich zu prüfen. Die Implementierung automatisierter Code-Scanning-Lösungen und Zero-Trust-Sicherheitskonzepte kann dabei helfen, ähnliche Angriffe frühzeitig zu erkennen und abzuwehren.
