Bir yılı aşkın süredir devam eden sofistike bir tedarik zinciri saldırısı, güvenlik uzmanlarını hedef alarak hassas giriş bilgilerini çaldı. Ars Technica’nın haberine göre, saldırı, GitHub ve NPM gibi açık kaynak platformlarındaki trojanlaştırılmış yazılımlar üzerinden güvenlik araştırmacılarını ve teknik uzmanları etkiliyor.
Araştırmacılar, saldırının ilk kez Checkmarx tarafından üç hafta önce, ardından Datadog Security Labs tarafından Cuma günü bildirildiğini belirtti.
Saldırganlar, açık kaynak depolarında bir yılı aşkın süredir bulunan zararlı paketlerle cihazlara profesyonelce geliştirilmiş bir arka kapı yüklüyor. Bu arka kapı, varlığını gizlemek için karmaşık yöntemler kullanıyor. Ayrıca, arXiv platformunda makale yayınlayan binlerce araştırmacıyı hedef alan özel kimlik avı saldırıları da kullanılıyor.
Saldırının bir amacı, her 12 saatte bir enfekte cihazlardan SSH özel anahtarları, Amazon Web Services erişim anahtarları ve komut geçmişi gibi hassas bilgileri toplamak. Bu saldırı sırasında, saldırganların Dropbox üzerindeki bir hesapta 390 bin WordPress web sitesi kimlik bilgisi depoladığı tespit edildi. Bu bilgilerin, diğer kötü niyetli tehdit aktörlerinden çalındığı düşünülüyor.
Saldırganlar ayrıca cihazlara kripto para madenciliği yazılımı da yüklüyor. Geçen ay itibarıyla en az 68 cihazda bu yazılımın çalıştığı tespit edildi. Ancak saldırganların kimlikleri ve motivasyonları henüz belirlenemedi.
Datadog araştırmacıları, grubu “MUT-1244” (Mysterious Unattributed Threat) olarak adlandırdı.
