Grave attacco hacker colpisce quasi 400mila account WordPress

Un grave attacco informatico, orchestrato dal gruppo criminale MUT-1244, ha compromesso oltre 390.000 credenziali di accesso a siti WordPress white hat black hat

Secondo i ricercatori di Datadog Security Labs SSH private e credenziali di accesso ai servizi AWS

L’attacco si è sviluppato principalmente attraverso due vettori: campagne di phishing e repository falsi su GitHub

Che strategia hanno adottato gli aggressori?

Gli aggressori hanno adottato una strategia a doppio scopo: rubare ricerche e dati riservati ai professionisti della sicurezza e ottenere accesso alle loro reti. I repository falsi erano progettati per sembrare affidabili, scegliendo nomi che richiamavano fonti di intelligence sulle minacce, ingannando così le vittime.

Il malware utilizzato prelevava chiavi SSH, credenziali AWS, file di configurazione e intere directory con dati sensibili, inviandoli poi a servizi di condivisione come Dropbox o file.io, sfruttando credenziali incorporate nel codice dannoso.

Le credenziali WordPress trafugate sono state verificate dai criminali tramite un programma chiamato "yawpp", originariamente progettato per validare gli accessi. Paradossalmente, gli stessi hacker che lo utilizzavano hanno involontariamente fornito ulteriori informazioni agli attaccanti. Questo attacco ha sfruttato la fiducia nella comunità della cybersicurezza per compromettere numerosi sistemi, e gli esperti avvertono che l’operazione potrebbe essere ancora attiva.