redaccion@diariodigitalis.com

Ataque masivo roba 390.000 credenciales de WordPress con código malicioso y minería de criptos

Investigadores han identificado un ataque multifacético dirigido a profesionales de seguridad que combina minería de criptomonedas y el robo de credenciales. La campaña, atribuida al actor de amenazas MUT-1244, ha resultado en el robo de 390.000 credenciales de acceso a WordPress.

Los atacantes utilizan varios vectores, incluida una campaña de phishing y repositorios troyanizados en GitHub. Uno de los métodos implica la descarga del paquete ‘@Oxengune/xmlrp’ desde NPM, mientras que otro, más sofisticado, se basa en un repositorio de código llamado ‘yawpp’, promocionado falsamente como una herramienta para verificar credenciales de WordPress.

Este ataque demuestra la creciente sofisticación y riesgo al que se enfrentan los profesionales del sector tecnológico y de ciberseguridad.

A principios de octubre de 2023, la firma de ciberseguridad Checkmarx advirtió una campaña dirigida a investigadores y profesionales de ciberseguridad consistente en la disposición de un paquete Node Package Manager (NPM) -herramienta en el desarrollo con JavaScript- malicioso que se hacía pasar por una implementación de cliente y servidor XML-RPC para el entorno de ejecución Node.js.

Lo interesante de este paquete era su evolución estratégica de código legítimo a código malicioso. Así, su versión inicial (1.3.2) y su inmediata continuación parecían ser implementaciones legítimas de la funcionalidad XML-RPC. Sin embargo, a partir de la versión 1.3.4, el paquete sufrió una transformación significativa con la introducción de código malicioso ofuscado dentro del archivo ‘validator.js’.

Desde entonces y a lo largo de un año, este paquete ha recibido 16 actualizaciones, tal y como ha apuntado Checkmarx. La última versión (1.3.18) se implementó el 4 de octubre de este año. Gracias a este patrón de actualizaciones constante y a que recibe nuevos comandos y configuraciones con frecuencia, el NPM ha podido mantenerse activo, con una apariencia legítima, al tiempo que ocultaba su finalidad maliciosa.

Id bootcamps Banner

Asimismo, una investigación complementaria a la de Checkmarx publicada por Datadog Security Labs señala que otro de los motivos por los que los repositorios maliciosos de GitHub parecían ser legítimos fue su nombre, como ‘cve-2019-1148’ o ‘ejecutable-pdf’.

Estos se incluyeron automáticamente en fuentes legítimas, como Feedly threat Intelligence o Vulnmon como respositorios de prueba de concepto dirigidos a vulnerabilidades conocidas. Esto aumentó su confiabilidad y la probabilidad de que algún desarrollador los ejecutase.

Una vez instalado en el equipo, el ‘malware’ comienza a recopilar información del sistema -claves y configuraciones SSH, historiales de comandos, información de red e IP, etc.- y, tras una fase inicial de recogida de datos, despliega su componente de minería de criptomonedas con atención a los sistemas Linux.

Este proceso de despliegue implica la descarga de cargas útiles adicionales desde un repositorio de Codeberg que se hacen pasar por servicios de autentificación del sistema, como ‘Xsession.auth’, configurado para iniciarse de forma automática. Con ello, se inicia una operación de minería que utiliza el ‘malware’ minero XMRig para extraer la criptomoneda Monero, que después dirige a una billetera propiedad del atacante.

Junto con este ‘software’ de minería, se instala ‘xprintidle’, que se utiliza para monitorizar la actividad del usuario, y ‘Xsession.sh’, un script que controla y administra la operación de criptominería maliciosa.

EVALUACIÓN CONTINUA

Desde Checkmarx han señalado que esa campaña, con la que MIT-12144 pudo acceder a más de 390.000 credenciales que se cree que pertenecen a WordPress, sirve como «un duro recordatorio» de la importancia de examinar detalladamente los proyectos de código abierto antes de incorporarlos a cualquier proceso de desarrollo de ‘software’.

Como se ha comprobado, los paquetes de código pueden ser maliciosos desde el principio, manteniendo una presencia a largo plazo mientras ocultan su verdadera naturaleza, o también se pueden ver comprometidos tiempo después de su implementación e introducir código malicioso a través de actualizaciones.

Se trata de una doble amenaza que obliga a desarrolladores y organizaciones a permanecer atentos más allá de una evaluación inicial del producto y a implementar medidas de seguridad sólidas, así como realizar auditorías periódicas para mitigar los riesgos.

Artículos Relacionados

Suscríbete a nuestra newsletter


(Obligatorio)

También te puede gustar

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí

Suscríbete a nuestra newsletter