Хакеры в течение года украли 390 000 учетных данных экспертов по безопасности

Сложная атака по цепочке поставок похищала конфиденциальные учетные данные исследователей в области кибербезопасности на протяжении более года. Для заражения устройств злоумышленники использовали троянское ПО с открытым исходным кодом и фишинговые кампании.

Вредоносное ПО было спрятано в NPM-пакете @0xengine/xmlrpc, который выглядел легитимным и получал обновления более года. Он устанавливал бэкдор, который собирал SSH-ключи, учетные данные AWS и истории команд каждые 12 часов. Исследователи также обнаружили связанный с GitHub инструмент yawpp, который автоматически “подтягивал” вредоносный пакет.

Злоумышленники, известные как MUT-1244, нацелились на сотрудников службы безопасности, распространяя троянские эксплойты на GitHub и фишинговые письма исследователям на платформе arXiv. Эти письма выдавались за обновления производительности процессоров.

На данный момент вирус похитил учетные данные 390 000 пользователей сайтов на WordPress. Кроме того, он установил криптомайнинговое ПО как минимум на 68 машин.

Кто всё это сделал - тайна.