Kaldırılmış bir GitHub deposu, çevrimiçi içerik yönetim sistemi (CMS) WordPress’e gönderi yayınlamak için bir araç sunduğunu iddia eden ve 390.000’den fazla kimlik bilgisinin sızdırılmasına olanak tanıdığı tahmin edilen bir güvenlik açığının parçası olarak tespit edildi.
Bu kötü niyetli faaliyet, Datadog Security Labs tarafından “gizemli, tanımlanmamış tehdit” anlamına gelen MUT-1244 olarak adlandırılan bir tehdit aktörü tarafından yürütülen daha geniş bir saldırı kampanyasının parçasıdır. Kampanya, bilinen güvenlik açıklarını istismar etmek için sahte GitHub depolarında Proof-of-Concept (PoC) kodlarının barındırılması ve kimlik avı yöntemlerini içermektedir.
Araştırmacılar Christophe Tafani-Dereeper, Matt Muir ve Adrian Korn, “Mağdurların saldırganlar olduğu düşünülüyor – pentesterlar, güvenlik araştırmacıları ve kötü niyetli tehdit aktörleri de dahil olmak üzere – ve bu kişilerin SSH özel anahtarları ve AWS erişim anahtarları gibi hassas verileri sızdırıldı” dedi.
Güvenlik araştırmacılarının, özellikle Kuzey Kore gibi ulus devlet grupları tarafından, tehdit aktörleri için cazip bir hedef olması şaşırtıcı değil. Bu kişilerin sistemlerinin ele geçirilmesi, üzerinde çalıştıkları açıklanmamış güvenlik açıklarıyla ilgili bilgilerin elde edilmesini sağlayabilir ve bu bilgiler daha fazla saldırı düzenlemek için kullanılabilir.
Son yıllarda, saldırganların güvenlik açığı açıklamalarından yararlanarak GitHub depoları oluşturduğu bir eğilim ortaya çıkmıştır. Sahte profillerle bu güvenlik açıklarına yönelik PoC’lar barındırdığı iddia edilen depolar, aslında veri hırsızlığı yapmak ve hatta açık karşılığında ödeme talep etmek üzere tasarlanmıştır.
MUT-1244 tarafından yürütülen kampanyalar, trojan içerikli GitHub depolarının kullanılmasının yanı sıra kimlik avı e-postalarını da içerir. Bu yöntemler, bir kripto madencisini indirme, sistem bilgilerini çalma, SSH özel anahtarlarını ele geçirme ve belirli klasörlerle (örn. ~/.aws) ilgili içerikleri “Fileio”’ya yükleme yeteneğine sahip ikinci aşama bir zararlı yazılımın teslim edilmesini sağlar.
Bu depolardan biri, “github[.]com/hpc20235/yawpp” idi ve kendisini “Yet Another WordPress Poster” (Bir Başka WordPress Gönderici) olarak tanıttı. GitHub tarafından kaldırılmadan önce, WordPress kimlik bilgilerini doğrulamak ve XML-RPC API’sini kullanarak gönderi oluşturmak için iki betik içeriyordu.
Ancak araç, aynı zamanda kötü niyetli kod barındırıyordu. Bu kod, bir npm bağımlılığı olan “@0xengine/xmlrpc” adlı bir paket olarak gizlenmişti ve aynı zararlı yazılımı dağıtıyordu. Bu paket, Ekim 2023’te bir Node.js tabanlı XML-RPC sunucusu ve istemcisi olarak npm’de yayımlandı ancak artık indirilemiyor.
Checkmarx adlı siber güvenlik firması, geçen ay yaptığı bir açıklamada, npm paketinin bir yıl boyunca aktif kaldığını ve yaklaşık 1.790 indirme aldığını belirtti.
Yawpp GitHub projesinin, muhtemelen WordPress hesapları için kullanılan 390.000’den fazla kimlik bilgisini bir saldırganın kontrol ettiği Dropbox hesabına sızdırdığı düşünülmektedir. Bu kimlik bilgileri, ilgisiz tehdit aktörlerinden yasa dışı yollarla elde edilmiştir.
Datadog, kimlik bilgilerinin sayısını belirlemek için kendi telemetrisi ve üçüncü taraf bir istihbarat sağlayıcı ile paylaştığı tehdit istihbaratından yararlandığını belirtti.
Diğer bir kötü amaçlı yazılım dağıtım yöntemi, akademisyenlere gönderilen kimlik avı e-postalarını içerir. Bu e-postalarda, bağlantıları ziyaret etmeleri ve sözde bir çekirdek yükseltme gerçekleştirmek için bir terminal komutunu kopyalayıp yapıştırmaları istenir. Bu, bir ClickFix tarzı saldırının Linux sistemlerine karşı belgelendiği ilk örnektir.
Araştırmacılar, “MUT-1244 tarafından kullanılan ikinci bir başlangıç erişim vektörü, CVE’ler için sahte PoC’ler yayımlayan bir dizi kötü niyetli GitHub kullanıcısını içeriyor” diye açıkladı. “Bunların çoğu Ekim veya Kasım 2024’te oluşturulmuş, meşru bir faaliyeti bulunmamakta ve AI ile oluşturulmuş bir profil resmine sahip.”
Bu sahte PoC depolarından bazıları, Colgate-Palmolive’in küresel saldırı güvenliği ekibi başkanı Alex Kaganovich tarafından Ekim 2024 ortalarında vurgulanmıştı. Ancak ilginç bir şekilde, ikinci aşama zararlı yazılım dört farklı şekilde kullanılıyor:
• Arka kapılı bir derleme yapılandırma dosyası
• Bir PDF dosyasına gömülü kötü amaçlı yazılım
• Python tabanlı bir düşürücü
• “0xengine/meow” adlı kötü niyetli bir npm paketi dahil
Araştırmacılar, “MUT-1244, çoğunlukla saldırı ekip üyeleri, güvenlik araştırmacıları ve PoC istismar kodlarını indirme ilgisi olan herkesin sistemini ele geçirdi” dedi. “Bu, MUT-1244’ün özel SSH anahtarları, AWS kimlik bilgileri ve komut geçmişi gibi hassas bilgilere erişim sağlamasına olanak tanıdı.