WordPress 账号被黑的严重事件

关键要点

在过去的一年中，超过 39 万个 WordPress账号因为一场一年期的供应链攻击而遭到泄露。该攻击利用了一系列针对成千上万学术研究人员的钓鱼活动，以及大量伪造概念验证（POC）利用的被篡改 GitHub仓库。

根据在 12 月 13日的帖子，这些方法旨在交付先进的第二阶段有效载荷，该载荷能够安装加密货币矿工并窃取系统信息。

这次攻击被称为 MUT-1224，意为“神秘的无出处威胁”——虽然这次攻击只占超过 8 亿个 WordPress网站的一小部分，但其针对的对象是安全专家，如渗透测试人员和威胁研究人员，以及非法获得这些凭证的攻击者。

Datadog 的研究人员表示，数百个 MUT-1244 受害者目前仍在遭受攻击，并指出敏感数据，如 SSH私钥和亚马逊网络服务（）访问密钥，都已被窃取。

Sectigo 的高级研究员 Jason Soroko 解释道，攻击者在多个 GitHub 仓库中设置了假冒的 POC利用。受害者中有安全专家、红队成员和其他攻击者，结果在不知情的情况下安装了窃取凭证和密钥的恶意第二阶段有效负载。同时，一场钓鱼活动让目标不知情地安装了假冒的内核更新。

“这些被篡改的仓库看起来非常合法，常常出现在可信的威胁情报资源中，”Soroko
说道。“通过下载和运行这些代码，受害者实际上是自我感染。此次供应链攻击破坏了正常的软件获取流程。攻击者没有直接攻击目标，而是毒化了受害者用于获取工具和利用的源头。”

Entro Security 的联合创始人及 CEO Itzik Alvas 补充道，MUT-1244攻击者成功渗透了多个企业代码的供应链，通过创建名称听上去合法且功能正常的代码仓库，这些代码最终作为依赖被众多开发者继承。

“这些代码依赖捆绑了一个篡改的密码检查器，该检查器会记录用户在输入密码时的信息，”Alvas
解释道。“由于此次攻击利用了供应链中的依赖关系，该活动在一年内得以未被发现，估计导致 39 万个凭证被泄露。”

SlashNext Email Security 的现场 CTO Stephen Kowski表示，此次攻击针对软件开发管道，通过损坏广泛使用的库和工具达到目的。Kowski 强调，一旦安装，恶意代码可能会传播到众多下游应用和系统。

“此次活动强调了为何团队必须审查所有代码，甚至是来自可信源的代码，”Kowski
指出。“实时检测恶意代码模式和可疑行为的高级威胁检测工具，有助于减少这些风险。组织可从自动化安全扫描解决方案中受益，该方案分析依赖关系并在潜在威胁传播至软件供应链之前进行识别。”