Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • Más de 390.000 credenciales de WordPress robadas a través de exploits PoC maliciosos que alojan el repositorio de GitHub
  • Tecnología

Más de 390.000 credenciales de WordPress robadas a través de exploits PoC maliciosos que alojan el repositorio de GitHub

teknomers 13 de Aralık de 2024 (Last updated: 13 de Aralık de 2024) 5 minutes read
Más de 390.000 credenciales de WordPress robadas a través de


13 de diciembre de 2024Ravie LakshmananAtaque cibernético/malware

Se estima que un repositorio de GitHub ahora eliminado que anunciaba una herramienta de WordPress para publicar publicaciones en el sistema de gestión de contenidos (CMS) en línea permitió la filtración de más de 390.000 credenciales.

La actividad maliciosa es parte de una campaña de ataque más amplia emprendida por un actor de amenazas, denominado MUT-1244 (donde MUT se refiere a “amenaza misteriosa no atribuida”) por Datadog Security Labs, que involucra phishing y varios repositorios troyanizados de GitHub que albergan pruebas de concepto. (PoC) para explotar fallos de seguridad conocidos.

“Se cree que las víctimas son actores ofensivos, incluidos pentesters e investigadores de seguridad, así como actores de amenazas maliciosas, y se les exfiltró información confidencial como claves privadas SSH y claves de acceso de AWS”, investigadores Christophe Tafani-Dereeper, Matt Muir y Adrian Korn. dijo en un análisis compartido con The Hacker News.

No sorprende que los investigadores de seguridad hayan sido un objetivo atractivo para los actores de amenazas, incluidos los grupos de estados-nación de Corea del Norte, ya que comprometer sus sistemas podría generar información sobre posibles vulnerabilidades relacionadas con fallas de seguridad no reveladas en las que podrían estar trabajando, que luego podrían aprovecharse. para organizar nuevos ataques.

Ciberseguridad

En los últimos años ha surgido una tendencia en la que atacantes intentar capitalizar en revelaciones de vulnerabilidades para crear repositorios de GitHub utilizando perfiles falsos que afirman albergar PoC para las fallas pero que en realidad están diseñados para realizar robo de datos e incluso exigir un pago a cambio del exploit.

Las campañas emprendidas por MUT-1244 no sólo implican el uso de repositorios troyanizados de GitHub sino también correos electrónicos de phishing, los cuales actúan como un conducto para entregar una carga útil de segunda etapa capaz de eliminar un minero de criptomonedas, así como robar información privada del sistema. Claves SSH, variables de entorno y contenidos asociados con carpetas específicas (por ejemplo, ~/.aws) a File.io.

Uno de esos repositorios era “github[.]com/hpc20235/yawpp”, que decía ser “Otro póster más de WordPress”. Antes de ser eliminado por GitHub, contenía dos scripts: uno para validar las credenciales de WordPress y otro para crear publicaciones utilizando el API XML-RPC.

Pero la herramienta también albergaba código malicioso en forma de una dependencia npm maliciosa, un paquete llamado @0xengine/xmlrpc que implementaba el mismo malware. Se publicó originalmente en npm en octubre de 2023 como un servidor y cliente XML-RPC basado en JavaScript para Node.js. La biblioteca ya no está disponible para descargar.

Vale la pena señalar que la empresa de ciberseguridad Checkmarx reveló el mes pasado que el paquete npm permaneció activo durante más de un año, atrayendo alrededor de 1.790 descargas.

Se dice que el proyecto yawpp GitHub permitió la filtración de más de 390.000 credenciales, probablemente para cuentas de WordPress, a una cuenta de Dropbox controlada por un atacante, comprometiendo a actores de amenazas no relacionados que tenían acceso a estas credenciales a través de medios ilícitos.

Otro método utilizado para entregar la carga útil implica enviar correos electrónicos de phishing a académicos en los que se les engaña para que visiten enlaces que les indican que inicien la terminal y copie y pegue un comando de shell para realizar una supuesta actualización del kernel. El descubrimiento marca la primera vez que un estilo ClickFix ataque ha sido documentado contra sistemas Linux.

“El segundo vector de acceso inicial que utiliza MUT-1244 es un conjunto de usuarios maliciosos de GitHub que publican pruebas de conceptos falsas para CVE”, explicaron los investigadores. “La mayoría de ellos fueron creados en octubre o noviembre. [2024]no tienen actividad legítima y tienen una imagen de perfil generada por IA”.

Ciberseguridad

Algunos de estos repositorios PoC falsos fueron previamente resaltado por Alex Kaganovich, jefe global del equipo rojo de seguridad ofensiva de Colgate-Palmolive, a mediados de octubre de 2024. Pero en un giro interesante, el malware de la segunda etapa se presenta de cuatro maneras diferentes:

  • Archivo de compilación de configuración con puerta trasera
  • Carga maliciosa incrustada en un archivo PDF
  • Usando un cuentagotas de Python
  • Inclusión de un paquete npm malicioso “0xengine/meow”

“MUT-1244 pudo comprometer el sistema de docenas de víctimas, en su mayoría miembros del equipo rojo, investigadores de seguridad y cualquier persona interesada en descargar el código de explotación PoC”, dijeron los investigadores. “Esto permitió a MUT-1244 obtener acceso a información confidencial, incluidas claves SSH privadas, credenciales de AWS e historial de comandos”.

¿Encontró interesante este artículo? Síguenos en Gorjeo  y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: Nagelsmann y el equipo de la DFB: ¿Sobre la clasificación al trono del Mundial?
Next: Hüseyin Yücel: ¡mi sueño es traer a Mohamed Salah al Beşiktaş!

Related Stories

ASUS ProArt PZ14, tableta ARM creativa y duradera
  • Tecnología

ASUS ProArt PZ14, tableta ARM creativa y duradera

teknomers 5 de Temmuz de 2026
Robots capaces de “ver” el tacto gracias a un sensor
  • Tecnología

Robots capaces de “ver” el tacto gracias a un sensor revolucionario que cambia de color

teknomers 5 de Temmuz de 2026
Cyberpunk 2077: un récord de ejemplares vendidos para CD Projekt
  • Tecnología

Cyberpunk 2077: un récord de ejemplares vendidos para CD Projekt RED

teknomers 5 de Temmuz de 2026

You May Have Missed

  • Deporte

Noticias sobre el traspaso de Bazoumana Toure: Por qué Newcastle está gastando £43 millones en el delantero.

teknomers 5 de Temmuz de 2026
Brasil-Noruega: ¿a qué hora y en qué canal ver este
  • Deporte

Brasil-Noruega: ¿a qué hora y en qué canal ver este octavo de final de la Copa del Mundo?

teknomers 5 de Temmuz de 2026
  • Cultura

Monique Barbut amenazada, Simon Abkarian y « de Gaulle » celebrados, Manu Payet apreciado… Nuestras indiscreciones de la semana

teknomers 5 de Temmuz de 2026
ASUS ProArt PZ14, tableta ARM creativa y duradera
  • Tecnología

ASUS ProArt PZ14, tableta ARM creativa y duradera

teknomers 5 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.