近日，網(wǎng)絡(luò)安全領(lǐng)域發(fā)生了一起重大事件，威脅行動(dòng)者M(jìn)UT-1244通過(guò)一系列精心策劃的行動(dòng)，成功竊取了大量WordPress登錄憑證。據(jù)BleepingComputer報(bào)道，這一行動(dòng)已持續(xù)近一年，涉及超過(guò)39萬(wàn)個(gè)WordPress賬戶。

這些敏感信息并非通過(guò)常規(guī)手段獲取，而是利用了一個(gè)被木馬感染的WordPress憑證檢查器。該檢查器的目標(biāo)指向了其他網(wǎng)絡(luò)攻擊者，包括紅隊(duì)成員、滲透測(cè)試專家和安全研究人員等。不僅如此，攻擊者還盜取了SSH私鑰和AWS訪問(wèn)密鑰，進(jìn)一步擴(kuò)大了其攻擊范圍。

為了傳播惡意代碼，MUT-1244采取了多種策略。他們通過(guò)數(shù)十個(gè)被木馬化的GitHub倉(cāng)庫(kù)，將惡意概念驗(yàn)證（PoC）代碼廣泛傳播。這些代碼利用了已知的漏洞進(jìn)行攻擊，同時(shí)，攻擊者還精心策劃了釣魚攻擊。他們發(fā)送釣魚郵件，誘使目標(biāo)用戶執(zhí)行惡意命令，并設(shè)立了虛假的GitHub倉(cāng)庫(kù)，偽裝成CPU微代碼更新，吸引安全研究人員和攻擊者下載并執(zhí)行。

這些偽造的PoC代碼在過(guò)去也曾被用于針對(duì)研究人員，目的是竊取他們的研究成果或滲透進(jìn)入安全公司內(nèi)部。值得注意的是，這些倉(cāng)庫(kù)由于命名巧妙，被一些合法的威脅情報(bào)平臺(tái)如Feedly和Vulnmon自動(dòng)收錄，這進(jìn)一步增加了它們的可信度，也提高了被利用的概率。

在攻擊手段上，MUT-1244展現(xiàn)了極高的技術(shù)實(shí)力。他們通過(guò)多種方式將惡意軟件注入GitHub倉(cāng)庫(kù)，包括后門化的配置文件、惡意PDF文件、Python下馬器和惡意npm包等。這些惡意軟件不僅包含加密貨幣挖礦程序，還設(shè)有后門，方便攻擊者竊取SSH密鑰、AWS憑證等敏感信息。

在竊取到這些信息后，MUT-1244并沒(méi)有止步。他們利用第二階段的惡意載荷，將數(shù)據(jù)外泄到Dropbox和file.io等文件共享平臺(tái)。通過(guò)硬編碼的憑證，攻擊者能夠輕松訪問(wèn)這些信息，進(jìn)一步擴(kuò)大了其攻擊成果。

據(jù)Datadog Security Labs的研究人員分析，這一攻擊活動(dòng)與Checkmarkx公司11月報(bào)告的一起供應(yīng)鏈攻擊存在相似之處。在那起攻擊中，攻擊者利用“hpc20235 / yawp”GitHub項(xiàng)目傳播惡意代碼，通過(guò)“0xengine / xmlrpc”npm包竊取數(shù)據(jù)并挖掘Monero加密貨幣。而MUT-1244的攻擊手段則更加復(fù)雜和多樣化。

目前，Datadog Security Labs估計(jì)仍有數(shù)百個(gè)系統(tǒng)受到感染，這一攻擊活動(dòng)仍在繼續(xù)。這一事件再次提醒我們，網(wǎng)絡(luò)安全形勢(shì)依然嚴(yán)峻，企業(yè)和個(gè)人需要時(shí)刻保持警惕，加強(qiáng)安全防護(hù)措施。

同時(shí)，對(duì)于GitHub等代碼托管平臺(tái)來(lái)說(shuō)，也需要加強(qiáng)安全審查，防止惡意代碼的傳播。只有各方共同努力，才能構(gòu)建一個(gè)更加安全的網(wǎng)絡(luò)環(huán)境。

對(duì)于安全研究人員和攻擊者來(lái)說(shuō)，也需要提高警惕，避免被偽造的PoC代碼所欺騙。在下載和執(zhí)行代碼時(shí)，務(wù)必進(jìn)行仔細(xì)的安全審查，確保自身安全不受威脅。