16/12/24
Вредоносная кампания была направлена не только на обычных пользователей, но и на других киберпреступников, которые использовали зараженные программы для проверки логинов и паролей.
По данным Datadog Security Labs, злоумышленники также украли закрытые SSH-ключи и ключи доступа AWS. Среди пострадавших — специалисты по тестированию безопасности, исследователи, участники Red Team, а также другие хакеры, пишут в Securitylab.
Для атаки использовались фальшивые репозитории на GitHub, где размещались эксплойты под видом доказательств концепций (Proof-of-Concept, PoC), нацеленные на известные уязвимости. Кроме того, жертвам рассылали фишинговые письма с предложением установить обновление ядра системы, якобы улучшая работу процессора. На самом деле под видом обновления устанавливалось вредоносное ПО.
Многие ИБ-специалисты и хакеры, не подозревая о рисках, загружали файлы, надеясь найти полезные коды для работы. Вредоносные репозитории выглядели убедительно, их названия даже автоматически добавлялись в ленты проверенных источников (например, Feedly Threat Intelligence или Vulnmon), что повышало доверие к каталогам.
Вредоносные файлы распространялись через репозитории GitHub с использованием нескольких методов, включая зараженные конфигурационные файлы для компиляции программ, вредоносные PDF-файлы, дропперы на Python и вредоносные npm-пакеты, включенные в зависимости проектов.
Использованная хакерами программа включает в себя майнер криптовалюты и бэкдор, который помог MUT-1244 собрать и извлечь закрытые SSH-ключи, учетные данные AWS, переменные среды и содержимое ключевых каталогов, включая «~/.aws».
Полезная нагрузка второго этапа, размещенная на отдельной платформе, позволила злоумышленникам перенести данные на Dropbox и file.io, причем в полезной нагрузке были жестко запрограммированные учетные данные для данных платформ, что предоставило киберпреступникам легкий доступ к украденной информации.
По оценке Datadog Security Labs, сотни систем остаются затронутыми, и заражение продолжается. Эксперты предупреждают о необходимости повышенного внимания при использовании репозиториев и PoC-эксплоитов, чтобы избежать подобных атак в будущем.
