Специалисты компаний Checkmarx и Datadog Security Labs раскрыли детали сложной кампании, нацеленной на исследователей кибербезопасности и этичных хакеров. Злоумышленники, действующие под кодовым названием MUT-1244, более года проводят многовекторную атаку на цепочку поставок, используя фальшивые PoC-эксплоиты и инструменты для компрометации систем жертв.
Механизм атаки через npm-пакеты
Центральным элементом атаки стал npm-пакет @0xengine/xmlrpc, размещенный в октябре 2023 года. Изначально легитимный пакет для работы с XML-RPC в Node.js постепенно эволюционировал в сложное вредоносное ПО. За год существования пакет получил 16 обновлений и был загружен около 1790 раз. Злоумышленники тщательно маскировали вредоносный код через обфускацию, что позволило избежать раннего обнаружения.
Распространение через GitHub и фишинг
Исследователи выявили 49 поддельных аккаунтов на GitHub, созданных в конце 2024 года, которые публиковали якобы рабочие эксплоиты для различных уязвимостей. Для придания достоверности профилям использовались сгенерированные ИИ фотографии. Дополнительным вектором стала фишинговая кампания, охватившая 2758 исследователей и разработчиков высокопроизводительных вычислительных систем.
Последствия заражения
После компрометации системы малварь устанавливала бэкдор, маскирующийся под службу Xsession.auth, который каждые 12 часов собирал конфиденциальную информацию, включая:
- SSH-ключи
- Учетные данные AWS
- Другую чувствительную информацию
Масштаб компрометации
По данным Datadog, атака позволила злоумышленникам похитить около 390 000 наборов учетных данных. Особую озабоченность вызывает тот факт, что некоторые вредоносные пакеты были автоматически включены в легитимные источники данных об уязвимостях, включая Feedly Threat Intelligence и Vulnmon.
Несмотря на явный успех операции, конечные цели группы MUT-1244 остаются неясными. Установка майнера криптовалюты Monero выглядит нелогичной для атаки, направленной на специалистов по безопасности, что может указывать на более сложные мотивы злоумышленников. Специалисты рекомендуют соблюдать повышенную осторожность при работе с PoC-эксплоитами из непроверенных источников и тщательно проверять зависимости устанавливаемых пакетов.
