瞄准安全研究人员！攻击者在GitHub上使用伪造PoC窃取39万WordPress凭证

研究人员观察到，MUT-1244使用了两种主要方法来获取对受害者系统的初始访问权限，包括钓鱼攻击和伪造的GitHub仓库。

攻击者利用多种隐蔽技术确保恶意代码能够悄无声息地执行，从而避免被检测到。

部分伪造的GitHub仓库中，恶意代码被巧妙地隐藏在后门配置文件中。虽然这些仓库包含一些看似正常的漏洞利用代码，但黑客通过在配置文件中嵌入恶意负载来绕过安全检测。受害者执行这些文件时，恶意代码悄然运行，攻击者便能窃取敏感信息。

其他攻击者通过将恶意负载嵌入PDF文件，或利用Python投毒脚本来执行攻击。这些PDF文件在被打开后会触发恶意代码的提取与执行，而Python脚本则通过解码并写入磁盘的方式，进一步加深了攻击的隐蔽性。此外，还有攻击者通过在代码中嵌入恶意的npm包，间接感染受害者设备，扩展了恶意代码的传播途径。

这些隐蔽的攻击手段使得黑客能够绕过许多常见的防御措施，尤其是在安全研究人员和开发者日常依赖开源工具的背景下，感染风险大大增加。

攻击者的最终目标是窃取受害者的敏感信息，包括SSH私钥、AWS访问密钥、命令历史记录等。此外，研究人员还发现，恶意代码中硬编码了Dropbox和file.io等服务的凭证，帮助攻击者能够访问和下载被盗数据。这表明，黑客不仅在窃取敏感信息，还能够长期控制受害者的系统，进一步扩大攻击范围。

在此次攻击中，黑客成功窃取了超过39万个WordPress凭证。这些凭证最初可能由其他恶意行为者通过非法手段获取，随后被攻击者利用名为“yawpp”的伪造工具进行验证并窃取。Yawpp表面上是一个合法的WordPress凭证检查工具，但实际上它被恶意修改，成为攻击者获取凭证的工具。攻击者通过这一工具，进一步拓展了攻击面，窃取了大量用户账户信息。

这次攻击的方式不仅表明了黑客技术的不断演进，也揭示了开源平台和工具的潜在风险。Bugcrowd的创始人兼顾问Casey Ellis表示：“针对红队人员和安全研究人员的伪造PoC攻击已经不是新鲜事，但这种手段依然有效，能够作为watering-hole攻击的一部分，利用目标群体的信任和依赖性来发起攻击。”Casey补充道：“这也提醒了安全研究人员和开发者，尽管开源资源和工具为他们提供了极大的便利，但也同时带来了潜在的安全威胁。”

MUT-1244的这一攻击活动展示了网络犯罪分子如何利用GitHub等受信平台以及流行的安全工具，发起精心设计的攻击，窃取敏感信息。随着网络安全威胁的日益复杂，研究人员和安全从业者必须保持警惕，避免成为攻击目标。同时，也警示我们需要加强对供应链安全的关注，尤其是在面对类似伪造PoC代码这类新型攻击手段时，必须提高警觉，增强防范意识。

文章来源：

https://hackread.com/hackers-fake-pocs-github-wordpress-credentials-aws-keys/