Хакеры в течение года украли 390 000 учетных данных экспертов по безопасности
Вредоносное ПО было спрятано в NPM-пакете @0xengine/xmlrpc, который выглядел легитимным и получал обновления более года. Он устанавливал бэкдор, который собирал SSH-ключи, учетные данные AWS и истории команд каждые 12 часов. Исследователи также обнаружили связанный с GitHub инструмент yawpp, который автоматически “подтягивал” вредоносный пакет.
Злоумышленники, известные как MUT-1244, нацелились на сотрудников службы безопасности, распространяя троянские эксплойты на GitHub и фишинговые письма исследователям на платформе arXiv. Эти письма выдавались за обновления производительности процессоров.
На данный момент вирус похитил учетные данные 390 000 пользователей сайтов на WordPress. Кроме того, он установил криптомайнинговое ПО как минимум на 68 машин.
Кто всё это сделал - тайна.