GitHub の偽 PoC リポジトリ:研究者たちの機密データと大量の WordPress 資格証明を窃取

390,000+ WordPress Credentials Stolen via Malicious GitHub Repository Hosting PoC Exploits

2024/12/13 TheHackerNews — WordPress ツールとして宣伝され、現在は削除されている悪意の GitHub リポジトリにより、39万件以上の認証情報が流出したと推定されている。この狡猾なアクティビティは、MUT-1244 と名付けられた脅威アクターが展開する、広範な攻撃キャンペーンの一部であり、フィッシング情報や PoC コードをホストする、トロイの木馬化された複数の GitHub リポジトリで構成されるものだ。

Datadog Security Labs の研究者である Christophe Tafani-Dereeper と Matt Muir と Adrian Korn は、「被害者となったのは、侵入テスト担当者や、セキュリティ研究者、脅威アクターたちだと考えられており、SSH 秘密鍵や AWS アクセスキーなどの機密データが流出した」と分析している。

北朝鮮の APT などの脅威アクター・グループにとって、セキュリティ研究者たちが魅力的なターゲットであるのは当然のことだ。彼らのシステムを侵害することで、彼らが取り組んでいる未公開の脆弱性やエクスプロイトに関する情報が得られ、それにより、さらなる攻撃での悪用が可能性になるからだ。

近年において、偽のプロファイルを用いて GitHub リポジトリを作成し、脆弱性の開示をルアーとして悪用し、PoC をホストしていると主張しながら、実際にはデータを盗み、エクスプロイトと引き換えに、支払いを要求するという攻撃者が散見される。

MUT-1244 が実施したキャンペーンでは、トロイの木馬化された GitHub リポジトリだけでなく、フィッシング・メールも利用されている。どちらも、暗号通貨マイナーをドロップするための、第2段階のペイロードを配信するための経路として機能し、システム情報/プライベート SSH キー/環境変数/特定のフォルダー (例: ~/.aws) に関連付けられたコンテンツを File.io へと盗み出す。

そのようなリポジトリの1つが、Yet Another WordPress Poster であると主張する、”github[.]com/hpc20235/yawpp” だった。GitHub により削除される前は、WordPress の資格情報を検証するスクリプトと、XML-RPC API を使用して投稿を作成するスクリプトの、2つが提供されるとしていた。

しかし、このツールは、不正な npm 依存関係を取り込むことで、悪意のコードを配信するものだった。それと、同じマルウェアを展開するのは、”@0xengine/xmlrpc” というパッケージである。それは、2023年10月の時点で、 JavaScript ベースの XML-RPC サーバおよび Node.js 用クライアントとして、npm に公開されていたものだ。現時点では、このライブラリはダウンロードできなくなっている。

2024年11月にサイバーセキュリティ会社 Checkmarx が明らかにしたのは、この npm パッケージが1 年以上もアクティブな状態を維持し、約 1,790 回のダウンロードを達成したことだ。

yawpp GitHub プロジェクトは、これらの資格情報にアクセスした無関係の脅威アクターに逆侵入することで、WordPress アカウントの 39 万件以上の資格情報を、自身が管理する Dropbox アカウントに流出させたと言われている。

Datadog は Hacker News に対して述べたのは、漏洩した資格情報の数を特定するために、サードパーティのインテリジェンス・プロバイダーのテレメトリおよび、脅威インテリジェンス共有を活用したことだ。

ペイロードを配信するために使用される別の方法は、フィッシング・メールを研究者たちに送信してターミナルを起動させ、シェル・コマンドのコピー&ペーストにより、カーネルのアップグレードを指示するリンクへとアクセスさせる手口だ。この発見が示すのは、Linux システムに対する ClickFix スタイルの攻撃が、初めて記録されたことである。

研究者たちは、「MUT-1244 が利用する2番目のイニシャル・アクセス・ベクターは、偽の PoC エクスプロイト公開する、悪意の GitHub ユーザーのセットである。それらの大半は、2024年10〜11月に作成さたれ、正当なアクティビティを持たないものであり、AI により生成されたプロフィール写真を提示していた」と述べている。

これらの偽 PoC リポジトリの一部は、2024年10月中旬の時点で、Colgate-Palmolive のレッド・チーム責任者である Alex Kaganovich により指摘されていた。しかし、興味深いことに、第2 段階のマルウェアは、以下の4種類の方法で実行されるという:

  • バックドア付きの configure コンパイル・ファイル
  • PDF ファイルに埋め込まれた悪意のペイロード
  • Python ドロッパーの使用
  • 悪意のある npm パッケージ “0xengine/meow” の組み込み

研究者たちは、「MUT-1244 が主として侵害してきたのは、レッド チーム・メンバー/セキュリティ研究者/PoC エクスプロイトに関心のある人々だ。それにより、数十人の被害者のシステムを侵害してきた。そこれにより、MUT-1244 は、プライベート SSH キー/AWS 認証情報/コマンド履歴などの機密情報にアクセスできた」と締め括っている。

PoC 情報などをルアーにして、セキュリティ研究者やホワイト・ハッカーを標的とする、とても悪質な活動が露見したとようです。このブログにも、PoC などへのリンクが含まれることがありますが、それらを配信する当事者について、身元が確認されているわけではありません。この意味で、この種の脅威アクターは、きわめて迷惑な存在です。よろしければ GitHub で検索も、ご参照ください。