Un ataque persistente dirigido a expertos de seguridad combina criptominería con el robo de 390.000 credenciales

Investigadores han advertido un ataque multifacético dirigido a profesionales de seguridad, que combina el despliegue de versiones maliciosas de código y minería de criptomonedas, una campaña que ha resultado en el robo de 390.000 credenciales de acceso a WordPress.

El actor de amenazas identificado como MUT-1244, utiliza diferentes vectores de ataque y aprovecha en ellos la misma carga útil, distribuida a través de una campaña 'phishing' dirigida a miles de profesionales de este sector y otros campos técnicos, así como mediante repositorios de código abierto GitHub troyanizados.

El primero de los vectores de ataque implica la instalación directa del paquete '@Oxengune/xmlrp' desde NPM, mientras que el segundo enfoque, más sofisticado, involucra un repositorio denominado 'yawpp', que se promociona como un verificador de credenciales de WordPress.

A principios de octubre de 2023, la firma de ciberseguridad Checkmarx advirtió una campaña dirigida a investigadores y profesionaldes de ciberseguridad consistente en la disposición de un paquete Node Package Manager (NPM) -herramienta en el desarrollo con JavaScript- malicioso que se hacía pasar por una implementación de cliente y servidor XML-RPC para el entorno de ejecución Node.js.

Lo interesante de este paquete era su evolución estratégica de código legítimo a código malicioso. Así, su versión inicial (1.3.2) y su inmediata continuación parecían ser implementaciones legítimas de la funcionalidad XML-RPC. Sin embargo, a partir de la versión 1.3.4, el paquete sufrió una transformación significativa con la introducción de código malicioso ofuscado dentro del archivo 'validator.js'.

Desde entonces y a lo largo de un año, este paquete ha recibido 16 actualizaciones, tal y como ha apuntado Checkmarx. La última versión (1.3.18) se implementó el 4 de octubre de este año. Gracias a este patrón de actualizaciones constante y a que recibe nuevos comandos y configuraciones con frecuencia, el NPM ha podido mantenerse activo, con una apariencia legítima, al tiempo que ocultaba su finalidad maliciosa.

Asimismo, una investigación complementaria a la de Checkmarx publicada por Datadog Security Labs señala que otro de los motivos por los que los repositorios maliciosos de GitHub parecían ser legítimos fue su nombre, como 'cve-2019-1148' o 'ejecutable-pdf'.

Estos se incluyeron automáticamente en fuentes legítimas, como Feedly threat Intelligence o Vulnmon como respositorios de prueba de concepto dirigidos a vulnerabilidades conocidas. Esto aumentó su confiabilidad y la probabilidad de que algún desarrollador los ejecutase.

Una vez instalado en el equipo, el 'malware' comienza a recopilar información del sistema -claves y configuraciones SSH, historiales de comandos, información de red e IP, etc.- y, tras una fase inicial de recogida de datos, despliega su componente de minería de criptomonedas con atención a los sistemas Linux.

Este proceso de despliegue implica la descarga de cargas útiles adicionales desde un repositorio de Codeberg que se hacen pasar por servicios de autentificación del sistema, como 'Xsession.auth', configurado para iniciarse de forma automática. Con ello, se inicia una operación de minería que utiliza el 'malware' minero XMRig para extraer la criptomoneda Monero, que después dirige a una billetera propiedad del atacante.

Junto con este 'software' de minería, se instala 'xprintidle', que se utiliza para monitorizar la actividad del usuario, y 'Xsession.sh', un script que controla y administra la operación de criptominería maliciosa.

EVALUACIÓN CONTINUA

Desde Checkmarx han señalado que esa campaña, con la que MIT-12144 pudo acceder a más de 390.000 credenciales que se cree que pertenecen a WordPress, sirve como "un duro recordatorio" de la importancia de examinar detalladamente los proyectos de código abierto antes de incorporarlos a cualquier proceso de desarrollo de 'software'.

Como se ha comprobado, los paquetes de código pueden ser maliciosos desde el principio, manteniendo una presencia a largo plazo mientras ocultan su verdadera naturaleza, o también se pueden ver comprometidos tiempo después de su implementación e introducir código malicioso a través de actualizaciones.

Se trata de una doble amenaza que obliga a desarrolladores y organizaciones a permanecer atentos más allá de una evaluación inicial del producto y a implementar medidas de seguridad sólidas, así como realizar auditorías periódicas para mitigar los riesgos.