长达一年的供应链攻击导致超过39万个WordPress网站凭证泄露。此次攻击利用了针对数千名学术研究人员和大量被植入木马的GitHub仓库（主要是伪造的漏洞验证代码）的钓鱼活动。

Datadog Security Labs在12月13日的一篇文章中表示，这些方法旨在传递复杂的第二阶段有效载荷，该载荷能够卸载加密货币挖矿软件并窃取系统信息。

此次攻击被称为MUT-1224（意为“神秘未知威胁”的缩写），虽然仅影响了8亿多个WordPress网站中的一小部分，但其针对的是渗透测试人员、威胁研究人员等安全专家以及非法获取凭证的威胁行为者，因此值得注意。

Datadog研究人员表示，数百名MUT-1224受害者已经并仍在遭受攻击，并指出SSH私钥和亚马逊网络服务（AWS）访问密钥等敏感数据已被窃取。Sectigo的高级研究员Jason Soroko解释说，攻击者设立了数十个包含伪造漏洞验证代码的GitHub仓库。安全专家、红队成员和威胁行为者等受害者在不知情的情况下安装了恶意的第二阶段有效载荷，该载荷会窃取凭证和密钥。同时，一场钓鱼活动诱骗目标安装伪造的内核更新。

Soroko表示：“这些被植入木马的仓库看起来很合法，经常出现在受信任的威胁情报源中。通过下载和运行这些代码，受害者实际上是自己感染了病毒。此次供应链攻击破坏了正常的软件获取过程。攻击者没有直接攻击目标，而是污染了受害者获取工具和漏洞验证代码的来源。”

Entro Security联合创始人兼首席执行官Itzik Alvas补充道，MUT-1224攻击者通过创建具有合法名称和功能用途的代码仓库，成功破坏了多家企业代码的供应链，这些仓库随后被许多开发人员作为依赖项继承。

Alvas解释说：“这些代码依赖项附带了被植入木马的密码检查器，该检查器会记录用户输入到继承这些依赖项的网站上的密码。由于此攻击利用了供应链中的依赖项，因此该活动在一年内未被发现，导致约39万个凭证泄露。”

SlashNext Email Security的现场首席技术官Stephen Kowski表示，此次攻击通过破坏广泛使用的库和工具来针对软件开发管道。Kowski说，一旦安装，恶意代码可能会传播到众多下游应用程序和系统中。

Kowski表示：“此次活动突显了团队必须检查所有代码（即使来自受信任的来源）的原因。实时发现恶意代码模式和可疑行为的先进威胁检测工具有助于降低这些风险。组织受益于自动化安全扫描解决方案，这些解决方案会分析依赖项并在威胁通过软件供应链传播之前识别出潜在威胁。”