นักวิจัยความปลอดภัยได้พบกลุ่มที่ชื่อว่า MUT-1244 ได้ทำการโจมตีเว็บไซต์ WordPress ตลอด 1 ปีที่ผ่านมาทำให้ได้ข้อมูลบัญชีผู้ใช้ไปแล้วกว่า 390,000 บัญชี
แฮกเกอร์จะใช้โค้ดที่มีอยู่ใน GitHub ซึ่งเป็นโค้ดที่ใช้สำหรับพิสูจน์การโจมตี (PoC-proof-of-concept) ต่างๆ ของ WordPress ซึ่งภายในนั้นจะมีข้อมูลสำคัญ อย่าง คีย์ SSH และคีย์เข้าถึง AWS เป็นต้น
นอกจากนี้กลุ่ม MUT-1244 ยังมีการส่งเมลฟิชชิ่งและติดตั้งโปรแกรมขุดเงินดิจิตอลอีกด้วย โดยข้อมูลจะถูกนำไปเก็บไว้ที่ “github[.]com/hpc20235/yawpp” ที่อ้างว่าเป็น “Yet Another WordPress Poster” ก่อนที่จะถูก GitHub ปิดไป
เท่านั้นยังไม่พอยังมีโค้ดที่เป็นอันตรายโดยอยู่ในรูปแบบแพคเกจ npm โดยใช้ชื่อว่า @0xengine/xmlrpc ซึ่งจากการตรวจสอบล่าสุดเมื่อเดือนพฤศจิกายน 2024 มีการดาวน์โหลดไปแล้วประมาณ 1,790 ครั้ง
อีกทั้งยังมีการแจ้งไว้ว่าโปรเจค GitHub ของ yawpp นั้นมีการเก็บบันทึกข้อมูลบัญชี WordPress ของผู้ใช้เกิน 390,000 ไว้ ซึ่งหากการโจมตีสำเร็จแฮกเกอร์จะนำข้อมูลล็อกอินไปขายหรือใช้เข้าถึงเว็บไซต์อย่างผิดกฎหมาย
นักวิจัยกล่าวว่า MUT-1244 สามารถเจาะระบบของเหยื่อได้หลายสิบราย โดยส่วนใหญ่เป็นเจ้าหน้าที่ฝ่ายความปลอดภัย นักวิจัยด้านความปลอดภัย และบุคคลที่สนใจดาวน์โหลดโค้ดสำหรับช่องโหว่ PoC
ดังนั้นเพื่อเป็นการป้องกัน ควรตรวจสอบปลั๊กอินและธีมจากแหล่งที่เชื่อถือได้, อัปเดต WordPress และซอฟต์แวร์ทั้งหมดให้เป็นเวอร์ชันล่าสุด, เปิดใช้งาน 2FA และใช้รหัสผ่านที่แข็งแกร่งและเปลี่ยนเป็นประจำ
ที่มา –Bleeping Computer
