{"id":1485798,"date":"2024-12-13T21:19:48","date_gmt":"2024-12-13T21:19:48","guid":{"rendered":"https:\/\/teknomers.com\/es\/mas-de-390-000-credenciales-de-wordpress-robadas-a-traves-de-exploits-poc-maliciosos-que-alojan-el-repositorio-de-github\/"},"modified":"2024-12-13T21:19:52","modified_gmt":"2024-12-13T21:19:52","slug":"mas-de-390-000-credenciales-de-wordpress-robadas-a-traves-de-exploits-poc-maliciosos-que-alojan-el-repositorio-de-github","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/mas-de-390-000-credenciales-de-wordpress-robadas-a-traves-de-exploits-poc-maliciosos-que-alojan-el-repositorio-de-github\/","title":{"rendered":"M\u00e1s de 390.000 credenciales de WordPress robadas a trav\u00e9s de exploits PoC maliciosos que alojan el repositorio de GitHub"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">13 de diciembre de 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Ataque cibern\u00e9tico\/malware<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/12\/Mas-de-390000-credenciales-de-WordPress-robadas-a-traves-de.png\" style=\"display: block;  text-align: center; clear: left; float: left;\"><\/a><\/div>\n<p>Se estima que un repositorio de GitHub ahora eliminado que anunciaba una herramienta de WordPress para publicar publicaciones en el sistema de gesti\u00f3n de contenidos (CMS) en l\u00ednea permiti\u00f3 la filtraci\u00f3n de m\u00e1s de 390.000 credenciales.<\/p>\n<p>La actividad maliciosa es parte de una campa\u00f1a de ataque m\u00e1s amplia emprendida por un actor de amenazas, denominado MUT-1244 (donde MUT se refiere a &#8220;amenaza misteriosa no atribuida&#8221;) por Datadog Security Labs, que involucra phishing y varios repositorios troyanizados de GitHub que albergan pruebas de concepto. (PoC) para explotar fallos de seguridad conocidos.<\/p>\n<p>&#8220;Se cree que las v\u00edctimas son actores ofensivos, incluidos pentesters e investigadores de seguridad, as\u00ed como actores de amenazas maliciosas, y se les exfiltr\u00f3 informaci\u00f3n confidencial como claves privadas SSH y claves de acceso de AWS&#8221;, investigadores Christophe Tafani-Dereeper, Matt Muir y Adrian Korn. dijo en un an\u00e1lisis compartido con The Hacker News.<\/p>\n<p>No sorprende que los investigadores de seguridad hayan sido un objetivo atractivo para los actores de amenazas, incluidos los grupos de estados-naci\u00f3n de Corea del Norte, ya que comprometer sus sistemas podr\u00eda generar informaci\u00f3n sobre posibles vulnerabilidades relacionadas con fallas de seguridad no reveladas en las que podr\u00edan estar trabajando, que luego podr\u00edan aprovecharse. para organizar nuevos ataques.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/zerotrust-inside-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/11\/1732617974_421_CISA-insta-a-las-agencias-a-aplicar-parches-criticos-quotRedes.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>En los \u00faltimos a\u00f1os ha surgido una tendencia en la que <a rel=\"noopener nofollow\" href=\"https:\/\/www.uptycs.com\/blog\/threat-research-report-team\/fake-poc-repositories-malicious-code-github\" target=\"_blank\">atacantes<\/a> intentar <a rel=\"noopener nofollow\" href=\"https:\/\/www.sonicwall.com\/blog\/hold-verify-execute-rise-of-malicious-pocs-targeting-security-researchers\" target=\"_blank\">capitalizar<\/a> en revelaciones de vulnerabilidades para crear repositorios de GitHub utilizando perfiles falsos que afirman albergar PoC para las fallas pero que en realidad est\u00e1n dise\u00f1ados para realizar robo de datos e incluso exigir un pago a cambio del exploit.<\/p>\n<p>Las campa\u00f1as emprendidas por MUT-1244 no s\u00f3lo implican el uso de repositorios troyanizados de GitHub sino tambi\u00e9n correos electr\u00f3nicos de phishing, los cuales act\u00faan como un conducto para entregar una carga \u00fatil de segunda etapa capaz de eliminar un minero de criptomonedas, as\u00ed como robar informaci\u00f3n privada del sistema. Claves SSH, variables de entorno y contenidos asociados con carpetas espec\u00edficas (por ejemplo, ~\/.aws) a File.io.<\/p>\n<p>Uno de esos repositorios era &#8220;github[.]com\/hpc20235\/yawpp&#8221;, que dec\u00eda ser &#8220;Otro p\u00f3ster m\u00e1s de WordPress&#8221;. Antes de ser eliminado por GitHub, conten\u00eda dos scripts: uno para validar las credenciales de WordPress y otro para crear publicaciones utilizando el <a rel=\"noopener nofollow\" href=\"https:\/\/developer.wordpress.org\/apis\/xml-rpc\/\" target=\"_blank\">API XML-RPC<\/a>.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/12\/1734124787_100_Mas-de-390000-credenciales-de-WordPress-robadas-a-traves-de.png\" style=\"display: block;  text-align: center; clear: left; float: left;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/12\/1734124787_100_Mas-de-390000-credenciales-de-WordPress-robadas-a-traves-de.png\" alt=\"\" border=\"0\" data-original-height=\"943\" data-original-width=\"1552\"\/><\/a><\/div>\n<p>Pero la herramienta tambi\u00e9n albergaba c\u00f3digo malicioso en forma de una dependencia npm maliciosa, un paquete llamado @0xengine\/xmlrpc que implementaba el mismo malware. Se public\u00f3 originalmente en npm en octubre de 2023 como un servidor y cliente XML-RPC basado en JavaScript para Node.js. La biblioteca ya no est\u00e1 disponible para descargar.<\/p>\n<p>Vale la pena se\u00f1alar que la empresa de ciberseguridad Checkmarx revel\u00f3 el mes pasado que el paquete npm permaneci\u00f3 activo durante m\u00e1s de un a\u00f1o, atrayendo alrededor de 1.790 descargas.<\/p>\n<p>Se dice que el proyecto yawpp GitHub permiti\u00f3 la filtraci\u00f3n de m\u00e1s de 390.000 credenciales, probablemente para cuentas de WordPress, a una cuenta de Dropbox controlada por un atacante, comprometiendo a actores de amenazas no relacionados que ten\u00edan acceso a estas credenciales a trav\u00e9s de medios il\u00edcitos.<\/p>\n<p>Otro m\u00e9todo utilizado para entregar la carga \u00fatil implica enviar correos electr\u00f3nicos de phishing a acad\u00e9micos en los que se les enga\u00f1a para que visiten enlaces que les indican que inicien la terminal y copie y pegue un comando de shell para realizar una supuesta actualizaci\u00f3n del kernel. El descubrimiento marca la primera vez que un estilo ClickFix <a rel=\"noopener nofollow\" href=\"https:\/\/www.esentire.com\/blog\/go-injector-leading-to-stealers\" target=\"_blank\">ataque<\/a> ha sido documentado contra sistemas Linux.<\/p>\n<p>&#8220;El segundo vector de acceso inicial que utiliza MUT-1244 es un conjunto de usuarios maliciosos de GitHub que publican pruebas de conceptos falsas para CVE&#8221;, explicaron los investigadores. &#8220;La mayor\u00eda de ellos fueron creados en octubre o noviembre. [2024]no tienen actividad leg\u00edtima y tienen una imagen de perfil generada por IA&#8221;.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/gartner-endpoint-protection-d-v3\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/12\/INTERPOL-detiene-a-5500-personas-en-campana-mundial-contra-la.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Algunos de estos repositorios PoC falsos fueron <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/pulse\/272-heist-when-testing-cves-backfires-alex-kaganovich-osc7e\/\" target=\"_blank\">previamente resaltado<\/a> por Alex Kaganovich, jefe global del equipo rojo de seguridad ofensiva de Colgate-Palmolive, a mediados de octubre de 2024. Pero en un giro interesante, el malware de la segunda etapa se presenta de cuatro maneras diferentes:<\/p>\n<ul>\n<li>Archivo de compilaci\u00f3n de configuraci\u00f3n con puerta trasera<\/li>\n<li>Carga maliciosa incrustada en un archivo PDF<\/li>\n<li>Usando un cuentagotas de Python<\/li>\n<li>Inclusi\u00f3n de un paquete npm malicioso &#8220;0xengine\/meow&#8221;<\/li>\n<\/ul>\n<p>&#8220;MUT-1244 pudo comprometer el sistema de docenas de v\u00edctimas, en su mayor\u00eda miembros del equipo rojo, investigadores de seguridad y cualquier persona interesada en descargar el c\u00f3digo de explotaci\u00f3n PoC&#8221;, dijeron los investigadores. &#8220;Esto permiti\u00f3 a MUT-1244 obtener acceso a informaci\u00f3n confidencial, incluidas claves SSH privadas, credenciales de AWS e historial de comandos&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 interesante este art\u00edculo? S\u00edguenos en <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/12\/390000-wordpress-credentials-stolen-via.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80213 de diciembre de 2024\ue804Ravie LakshmananAtaque cibern\u00e9tico\/malware Se estima que un repositorio de GitHub ahora eliminado que anunciaba<\/p>\n","protected":false},"author":1,"featured_media":1485799,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,68585,4661,4664,42020,29391,50201,201033,34681,16,4654,201031,4659,4653,4655,53819,7357,22045,246983,255454,246984,201032,116,246982,4660,51459],"class_list":["post-1485798","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-alojan","tag-ataques-ciberneticos","tag-como-hackear","tag-credenciales","tag-exploits","tag-github","tag-las-noticias-de-los-piratas-informaticos","tag-maliciosos","tag-mas","tag-noticias-ciberneticas","tag-noticias-de-piratas-informaticos","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-poc","tag-repositorio","tag-robadas","tag-seguridad-de-la-informacion","tag-seguridad-de-red","tag-seguridad-informatica","tag-software-malicioso-ransomware","tag-traves","tag-violacion-de-datos","tag-vulnerabilidad-de-software","tag-wordpress"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1485798","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1485798"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1485798\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1485799"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1485798"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1485798"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1485798"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}