Sebuah repositori GitHub yang kini telah dihapus, yang mengiklankan alat WordPress untuk mempublikasikan postingan ke sistem manajemen konten (CMS) online, diperkirakan telah memungkinkan pencurian lebih dari 390.000 kredensial.
Aktivitas berbahaya ini adalah bagian dari kampanye serangan yang lebih luas yang dilakukan oleh aktor ancaman yang disebut MUT-1244 (MUT merujuk pada "mysterious unattributed threat" atau ancaman tak teridentifikasi misterius) oleh Datadog Security Labs. Kampanye ini melibatkan phishing dan beberapa repositori GitHub trojan yang menghosting kode proof-of-concept (PoC) untuk mengeksploitasi kerentanan keamanan yang diketahui.
"Korban diyakini adalah aktor ofensif – termasuk pentester dan peneliti keamanan, serta aktor ancaman berbahaya – dan data sensitif seperti kunci pribadi SSH dan kunci akses AWS telah dicuri," kata peneliti Christophe Tafani-Dereeper, Matt Muir, dan Adrian Korn dalam analisis yang dibagikan ke The Hacker News.
Kampanye yang dilakukan oleh MUT-1244 tidak hanya melibatkan penggunaan repositori GitHub trojan tetapi juga email phishing, yang keduanya berfungsi sebagai saluran untuk mengirimkan payload tahap kedua. Payload ini mampu mengunduh penambang kripto, serta mencuri informasi sistem, kunci SSH pribadi, variabel lingkungan, dan konten terkait folder spesifik (misalnya ~/.aws) ke File.io.
Salah satu repositori tersebut adalah "github[.]com/hpc20235/yawpp", yang mengklaim sebagai "Yet Another WordPress Poster." Sebelum dihapus oleh GitHub, repositori ini berisi dua skrip: satu untuk memvalidasi kredensial WordPress dan satu lagi untuk membuat postingan menggunakan XML-RPC API.
Baca artikel selengkapnya: https://thehackernews.com/2024/12/390000-wordpress-credentials-stolen-via.html