Експерти з кібербезпеки компаній Checkmarx та Datadog Security Labs виявили масштабну кібератаку, спрямовану на фахівців з інформаційної безпеки та етичних хакерів. Зловмисники, що діють під кодовою назвою MUT-1244, протягом року реалізують комплексну атаку на ланцюжки постачання, використовуючи різноманітні вектори проникнення.
Компрометація через шкідливі npm-пакети
Ключовим елементом атаки став npm-пакет @0xengine/xmlrpc, опублікований у жовтні 2023 року. Початково легітимний інструмент для роботи з XML-RPC поступово трансформувався у складне шкідливе програмне забезпечення. За рік існування пакет отримав 16 оновлень та був завантажений близько 1790 разів. Зловмисники майстерно приховували шкідливий код через обфускацію, що дозволило уникнути раннього виявлення системами безпеки.
Фішингова кампанія та фальшиві GitHub-профілі
Дослідники ідентифікували 49 підроблених акаунтів на GitHub, створених наприкінці 2024 року. Ці профілі поширювали нібито робочі експлойти для різних вразливостей. Для надання достовірності обліковим записам використовувалися згенеровані штучним інтелектом фотографії. Паралельно проводилася масштабна фішингова кампанія, яка охопила 2758 дослідників та розробників високопродуктивних обчислювальних систем.
Механізм роботи шкідливого ПЗ
Після успішної компрометації системи малвар встановлював бекдор під виглядом служби Xsession.auth. Шкідливе ПЗ здійснювало регулярний збір конфіденційної інформації кожні 12 годин, включаючи SSH-ключі, облікові дані AWS та іншу чутливу інформацію. За даними Datadog, атака призвела до викрадення близько 390 000 наборів облікових даних.
Наслідки та рекомендації щодо захисту
Особливе занепокоєння викликає той факт, що деякі шкідливі пакети були автоматично включені до легітимних джерел даних про вразливості, зокрема Feedly Threat Intelligence та Vulnmon. Хоча кінцеві цілі групи MUT-1244 залишаються нез’ясованими, встановлення майнера криптовалюти Monero може слугувати відволікаючим маневром.
Для захисту від подібних атак фахівцям з кібербезпеки рекомендується ретельно перевіряти джерела PoC-експлойтів, аналізувати залежності npm-пакетів перед встановленням та використовувати додаткові засоби захисту при роботі з потенційно небезпечним кодом. Важливо також регулярно оновлювати системи безпеки та проводити аудит встановленого програмного забезпечення.