Специалисты компаний Checkmarx и Datadog Security Labs раскрыли детали масштабной кампании по компрометации систем исследователей безопасности и хакеров, длящейся более года. Злоумышленники используют изощренную тактику распространения вредоносного ПО через популярную платформу GitHub.
Механизм атаки и используемые инструменты
В центре атаки находится пакет @0xengine/xmlrpc, размещенный в репозитории npm с октября 2023 года. Изначально легитимный инструмент для работы с XML-RPC постепенно эволюционировал в сложное вредоносное ПО с обфусцированным кодом. За год пакет получил 16 обновлений и был загружен около 1790 раз, успешно маскируясь под безопасную библиотеку.
Тактика распространения малвари
Хакерская группа, идентифицированная как MUT-1244 (Mysterious unattributed threat), использовала два основных вектора атаки. Первый включал создание 49 фальшивых аккаунтов на GitHub, публикующих поддельные эксплоиты уязвимостей. Второй метод базировался на фишинговой кампании, нацеленной на 2758 исследователей и разработчиков высокопроизводительных вычислительных систем.
Последствия и масштаб компрометации
Вредоносное ПО, маскирующееся под службу Xsession.auth, каждые 12 часов собирало конфиденциальную информацию, включая SSH-ключи, учетные данные AWS и другую чувствительную информацию. По данным Datadog, злоумышленники получили доступ к примерно 390 000 учетных записей с зараженных систем.
Технические особенности атаки
Злоумышленники проявили особую изобретательность в маскировке вредоносного кода. Пакет yawpp, позиционируемый как инструмент проверки учетных данных WordPress, использовал @0xengine/xmlrpc в качестве зависимости, что обеспечивало автоматическую установку малвари. Собранные данные экфильтрировались через популярные сервисы Dropbox и file.io.
Эксперты отмечают необычный характер атаки: совмещение майнинга криптовалюты Monero с целенаправленным сбором конфиденциальных данных исследователей безопасности указывает на возможные скрытые мотивы злоумышленников. Специалисты рекомендуют соблюдать повышенную осторожность при использовании сторонних инструментов и тщательно проверять все зависимости, особенно при работе с PoC-эксплоитами.
