워드프레스 사용자 39만 명 계정 유출 사건

워드프레스 사용자 39만 명 계정 유출, 보안 커뮤니티의 신뢰 악용한 공격 - 데일리시큐

워드프레스 사용자 39만 명 계정 유출, 보안 커뮤니티의 신뢰 악용한 공격 - 데일리시큐

 

390,000+ WordPress Credentials Stolen via Malicious GitHub Repository Hosting PoC Exploits

 

• 사건 개요
  • 사이버 범죄 조직 MUT-1244가 약 1년 동안 워드프레스 사용자 39만 명의 계정을 탈취
  • 악성 GitHub 저장소와 피싱 캠페인을 통해 민감한 데이터를 수집
  • 피해 데이터에는 SSH 개인 키, AWS 접근 키, 환경 변수 등 포함
• 공격 수법
  • 워드프레스 자격 증명 확인 도구 위장
    • yawpp라는 워드프레스 자격 증명 확인 도구로 위장
    • 악성 npm 패키지와 함께 배포되어 데이터 탈취 수행
  • GitHub 저장소 악용
    • PoC(개념 증명) 코드를 제공하는 척하며 악성 코드를 숨김
    • 신뢰할 수 있는 위협 인텔리전스 플랫폼의 이름을 도용해 신뢰도 상승
  • 피싱 이메일 캠페인
    • 사용자를 속여 악성 명령어를 실행하게 유도
    • 가짜 커널 업데이트 명령 실행을 통해 시스템 감염
  • 데이터 유출 경로
    • 탈취한 데이터는 Dropbox와 File.io 플랫폼을 통해 전송
    • 하드코드된 자격 증명을 통해 해당 플랫폼에 접근
• 피해 범위
  • 워드프레스 계정 39만 개 이상의 자격 증명 유출
  • 주요 피해자: 보안 연구원, 침투 테스터, 위협 행위자
  • 유출 데이터: SSH 키, AWS 토큰, 특정 디렉터리 파일
• 악성 코드 및 공격 방법
  • 멀웨어 종류
    • 암호화폐 모네로 채굴기 배포
    • 환경 변수 및 주요 파일을 탈취하는 기능 포함
  • 다양한 접근 벡터
    • PDF 파일에 숨겨진 악성 페이로드
    • Python 드로퍼를 사용한 멀웨어 설치
    • 백도어 컴파일 파일 활용
• 보안 권고
  • 서드파티 도구 검증
    • 신뢰할 수 없는 도구와 저장소 사용 자제
    • 오픈소스 코드 사용 시 엄격한 검증 절차 필요
  • 보안 모니터링
    • GitHub 저장소 및 PoC 코드 다운로드 전 악성 여부 확인
    • 보안 소프트웨어를 활용한 실시간 탐지 강화
  • 교육 및 경각심 제고
    • 보안 연구원 및 관련 종사자를 대상으로 피싱 캠페인 경고
    • 자격 증명 및 SSH 키 관리에 대한 보안 교육 필수