Компанії Checkmarx та Datadog Security Labs виявили масштабну кібератаку, спрямовану на дослідників безпеки та фахівців з високопродуктивних обчислень. Зловмисники протягом року використовували складну схему поширення шкідливого програмного забезпечення через платформу GitHub, успішно компрометуючи системи цільових користувачів.
Технічні деталі шкідливого пакету
Центральним елементом атаки став npm-пакет @0xengine/xmlrpc, який з жовтня 2023 року розповсюджувався через офіційний репозиторій. Спочатку легітимний інструмент для роботи з XML-RPC протоколом поступово трансформувався у складне шкідливе ПЗ. За рік пакет отримав 16 оновлень та був завантажений близько 1790 разів, успішно маскуючись під безпечну бібліотеку завдяки обфускації коду.
Методологія атаки та масштаби впливу
Хакерське угруповання MUT-1244 (Mysterious unattributed threat) реалізувало двовекторну стратегію атаки. Перший напрямок включав створення 49 фіктивних акаунтів на GitHub для публікації підроблених експлойтів. Другий базувався на фішинговій кампанії, націленій на 2758 дослідників та розробників. Зловмисники отримали доступ до приблизно 390 000 облікових записів із заражених систем.
Механізми збору та експортування даних
Шкідливе ПЗ, замасковане під службу Xsession.auth, здійснювало регулярний збір конфіденційної інформації кожні 12 годин. Серед викрадених даних були SSH-ключі, облікові дані AWS та інша чутлива інформація. Для експортування викрадених даних використовувались популярні сервіси Dropbox та file.io, що ускладнювало виявлення зловмисної активності.
Особливості маскування та розповсюдження
Зловмисники проявили винахідливість у приховуванні шкідливого коду. Пакет yawpp, що позиціонувався як інструмент перевірки облікових даних WordPress, використовував @0xengine/xmlrpc як залежність, забезпечуючи автоматичну інсталяцію шкідливого ПЗ при встановленні основного пакету.
Експерти з кібербезпеки рекомендують посилити заходи безпеки при роботі зі сторонніми інструментами та ретельно перевіряти всі залежності, особливо при використанні PoC-експлойтів. Поєднання майнінгу криптовалюти Monero з цільовим збором конфіденційних даних вказує на можливі приховані мотиви атакуючих та потребує додаткового розслідування. Організаціям рекомендується впровадити багаторівневу систему перевірки програмних компонентів та регулярно оновлювати політики безпеки.