En una preocupante revelación, investigadores han denunciado un sofisticado ataque cibernético que tiene como objetivo a especialistas en seguridad informática. Este asalto multifacético no solo ha resultado en el robo de aproximadamente 390.000 credenciales de acceso a WordPress, sino que también incluye el uso de malware para la minería de criptomonedas, complicando aún más la ya delicada seguridad de los profesionales del sector.

El grupo responsable, conocido como MUT-1244, ha implementado una serie de tácticas diversas, utilizando la misma carga maliciosa en diferentes vectores de ataque. A través de campañas de phishing dirigidas a miles de técnicos y profesionales en ciberseguridad, así como mediante el aprovechamiento de repositorios de código abierto en GitHub que han sido comprometidos, este actor de amenazas está causando estragos en la confianza de la comunidad tecnológica.

El primer método de ataque se da a través de la instalación directa de un paquete llamado '@Oxengune/xmlrp' desde el registro de Node Package Manager (NPM), mientras que un enfoque más sutil implica el uso de un repositorio denominado 'yawpp', que engaña a los usuarios al presentarse como un verificador de credenciales para WordPress.

En octubre de 2023, la firma de ciberseguridad Checkmarx emitió una alerta sobre esta preocupante campaña, que incluía la distribución de un paquete NPM malicioso que emulaba un cliente y servidor XML-RPC para el entorno de Node.js.

Lo alarmante de este paquete es su evolución de código, dado que comenzó como una versión legítima en su versión 1.3.2 y continuó con actualizaciones que aparentaban ser igualmente válidas, hasta que en su versión 1.3.4 comenzó a incorporar código malicioso ofuscado dentro del archivo 'validator.js'.

Desde su lanzamiento, este paquete ha ido recibiendo un total de 16 actualizaciones en el transcurso de un año, como señala Checkmarx. La versión más reciente (1.3.18), fue desplegada el 4 de octubre. La estrategia de constantes actualizaciones y la incorporación de nuevos comandos han permitido que este NPM se mantenga activo y aparentemente legítimo, mientras oculta su naturaleza dañina.

Adicionalmente, un estudio realizado por Datadog Security Labs ha revelado que los repositorios maliciosos en GitHub a menudo son percibidos como seguros gracias a nombres engañosos, como 'cve-2019-1148' o 'ejecutable-pdf'.

Estos han logrado ser incluidos en fuentes legítimas, como Feedly Threat Intelligence o Vulnmon, lo que aumenta su credibilidad y la posibilidad de que nuevos desarrolladores los implementen sin sospechar de sus verdaderas intenciones.

Una vez que el malware se encuentra instalado en los sistemas, comienza a recopilar información crítica, como credenciales de acceso, configuraciones SSH, historiales de comandos e información de red, para posteriormente iniciar una fase de minería de criptomonedas, particularmente en entornos Linux.

Este despliegue se lleva a cabo mediante la descarga de cargas útiles desde un repositorio de Codeberg que simula ser un servicio de autenticación del sistema, como 'Xsession.auth', que está configurado para ejecutarse automáticamente. Es así como se inicia una operación de minería utilizando el strong>malware minero XMRig, el cual se dedica a la extracción de la criptomoneda Monero, que es redirigida a una billetera controlada por el atacante.

Además de la minería, se instalan herramientas como 'xprintidle', que supervisa la actividad del usuario, y 'Xsession.sh', un script diseñado para gestionar la operación de minería maliciosa.

EVALUACIÓN CONTINUA

Checkmarx ha resaltado que esta campaña, que ha permitido a MUT-1244 acceder a más de 390.000 credenciales de WordPress, actúa como un "duro recordatorio" de la imperiosa necesidad de llevar a cabo una evaluación exhaustiva de los proyectos de código abierto antes de su inclusión en cualquier proceso de desarrollo de software.

La experiencia ha demostrado que los paquetes de código pueden ser maliciosos desde su origen, o pueden ser comprometidos en un momento posterior, introduciendo código destructivo a través de actualizaciones. Este fenómeno representa una doble amenaza que exige a desarrolladores y organizaciones mantenerse vigilantes más allá de la revisión inicial del producto, así como implementar medidas de seguridad robustas y realizar a auditorías periódicas para mitigar posibles riesgos.