據BleepingComputer消息，一個被標記為 MUT-1244 的攻擊者利用植入木馬的 WordPress 憑證檢查器進行了一次規模龐大、長達一年的攻擊活動，盜取了超過 39 萬個 WordPress 憑證。

Datadog Security Labs 的研究人員發現了這些攻擊，并表示被感染系統中有數百名受害者的 SSH 私鑰和 AWS 訪問密鑰也被盜取，這些受害者很可能包括紅隊成員、滲透測試員、安全研究人員甚至其他一些黑客。

被感染者通過相同的第二階段惡意載荷進行感染，該惡意載荷通過數十個植入了木馬的 GitHub 代碼庫傳播，這些代碼庫提供了針對已知安全漏洞的惡意的概念驗證（PoC）漏洞利用代碼以及一項釣魚活動，引導目標安裝偽裝成 CPU 微碼升級的虛假內核升級。

雖然釣魚電子郵件誘使受害者執行命令安裝惡意軟件，但虛假代碼庫則欺騙了尋求特定漏洞利用代碼的安全專業人員和其他一些黑客。在此之前，攻擊者曾利用虛假的概念驗證漏洞來攻擊研究人員，希望竊取有價值的研究成果或者獲得對網絡安全公司網絡的訪問權限。

研究人員表示，由于它們的命名方式，其中幾個代碼庫會自動包含在 Feedly Threat Intelligence 或Vulnmon 等合法來源中，作為這些漏洞的概念驗證代碼庫，這增加了它們的合法性和被運行的可能性。

這些惡意載荷通過 GitHub 代碼庫使用多種方法進行傳播，包括帶有后門的配置編譯文件、惡意 PDF 文件、 Python 樣本傳播程序以及包含在項目依賴項中的惡意 npm 包。

正如 Datadog Security Labs 發現的那樣，這次攻擊與Checkmarkx 在 11 月發布的一份報告中提到的一次為期一年的供應鏈攻擊有重疊之處，這次攻擊通過在"hpc20235/yawp" GitHub 項目中使用"0xengine/xmlrpc" npm 包中的惡意代碼來竊取數據和挖掘 Monero 加密貨幣。

攻擊中部署的惡意軟件包括一個加密貨幣挖礦程序和一個后門，幫助 MUT-1244 收集和竊取私有 SSH 密鑰、 AWS 憑證、環境變量以及密鑰目錄內容，比如"~/.aws"。

第二階段的惡意載荷托管在一個獨立的平臺上，使攻擊者能夠將數據導出到像 Dropbox 和file.io 這樣的文件共享服務中，調查人員在惡意載荷中找到了這些平臺的硬編碼憑證，使攻擊者能夠輕松訪問被竊取的信息。

攻擊流程

Datadog Security Labs 的研究人員表示，MUT-1244 成功獲取了超過 39 萬個WordPress憑證，并高度確信這些憑證在被導出到 Dropbox 之前就已經落入了攻擊者手中。

攻擊者成功利用了網絡安全界的互信關系，通過目標在無意中執行攻擊者的惡意軟件而侵入了數十臺白帽和黑帽黑客的機器，導致包括 SSH 密鑰、 AWS 訪問令牌和命令歷史在內的數據被竊取。

Datadog Security Labs 估計，數百臺系統仍然會受到攻擊，而其他系統仍在遭受這次持續攻擊帶來的感染。