近日，網(wǎng)絡(luò)安全領(lǐng)域發(fā)生了一起重大事件，威脅行動者M(jìn)UT-1244通過一系列精心策劃的行動，成功竊取了大量WordPress登錄憑證。據(jù)BleepingComputer報道，這一行動已持續(xù)近一年，涉及超過39萬個WordPress賬戶。

這些敏感信息并非通過常規(guī)手段獲取，而是利用了一個被木馬感染的WordPress憑證檢查器。該檢查器的目標(biāo)指向了其他網(wǎng)絡(luò)攻擊者，包括紅隊成員、滲透測試專家和安全研究人員等。不僅如此，攻擊者還盜取了SSH私鑰和AWS訪問密鑰，進(jìn)一步擴(kuò)大了其攻擊范圍。

為了傳播惡意代碼，MUT-1244采取了多種策略。他們通過數(shù)十個被木馬化的GitHub倉庫，將惡意概念驗證（PoC）代碼廣泛傳播。這些代碼利用了已知的漏洞進(jìn)行攻擊，同時，攻擊者還精心策劃了釣魚攻擊。他們發(fā)送釣魚郵件，誘使目標(biāo)用戶執(zhí)行惡意命令，并設(shè)立了虛假的GitHub倉庫，偽裝成CPU微代碼更新，吸引安全研究人員和攻擊者下載并執(zhí)行。

這些偽造的PoC代碼在過去也曾被用于針對研究人員，目的是竊取他們的研究成果或滲透進(jìn)入安全公司內(nèi)部。值得注意的是，這些倉庫由于命名巧妙，被一些合法的威脅情報平臺如Feedly和Vulnmon自動收錄，這進(jìn)一步增加了它們的可信度，也提高了被利用的概率。

在攻擊手段上，MUT-1244展現(xiàn)了極高的技術(shù)實力。他們通過多種方式將惡意軟件注入GitHub倉庫，包括后門化的配置文件、惡意PDF文件、Python下馬器和惡意npm包等。這些惡意軟件不僅包含加密貨幣挖礦程序，還設(shè)有后門，方便攻擊者竊取SSH密鑰、AWS憑證等敏感信息。

在竊取到這些信息后，MUT-1244并沒有止步。他們利用第二階段的惡意載荷，將數(shù)據(jù)外泄到Dropbox和file.io等文件共享平臺。通過硬編碼的憑證，攻擊者能夠輕松訪問這些信息，進(jìn)一步擴(kuò)大了其攻擊成果。

據(jù)Datadog Security Labs的研究人員分析，這一攻擊活動與Checkmarkx公司11月報告的一起供應(yīng)鏈攻擊存在相似之處。在那起攻擊中，攻擊者利用“hpc20235 / yawp”GitHub項目傳播惡意代碼，通過“0xengine / xmlrpc”npm包竊取數(shù)據(jù)并挖掘Monero加密貨幣。而MUT-1244的攻擊手段則更加復(fù)雜和多樣化。

目前，Datadog Security Labs估計仍有數(shù)百個系統(tǒng)受到感染，這一攻擊活動仍在繼續(xù)。這一事件再次提醒我們，網(wǎng)絡(luò)安全形勢依然嚴(yán)峻，企業(yè)和個人需要時刻保持警惕，加強(qiáng)安全防護(hù)措施。

同時，對于GitHub等代碼托管平臺來說，也需要加強(qiáng)安全審查，防止惡意代碼的傳播。只有各方共同努力，才能構(gòu)建一個更加安全的網(wǎng)絡(luò)環(huán)境。

對于安全研究人員和攻擊者來說，也需要提高警惕，避免被偽造的PoC代碼所欺騙。在下載和執(zhí)行代碼時，務(wù)必進(jìn)行仔細(xì)的安全審查，確保自身安全不受威脅。