Было обнаружено, что два вредоносных пакета, обнаруженных в реестре пакетов npm, используют GitHub для хранения SSH-ключей, зашифрованных Base64, украденных из систем разработчиков, на которых они были установлены.
Модули с именами warbeast2000 и kodiak2k были опубликованы в начале месяца, и их загрузили 412 и 1281, прежде чем они были удалены разработчиками npm. Последние загрузки произошли 21 января 2024 года.
Компания ReversingLabs, занимающаяся безопасностью цепочки поставок программного обеспечения, которая сделала это открытие, заявила, что существует восемь различных версий warbeast2000 и более 30 версий kodiak2k.
Оба модуля предназначены для запуска постинсталляционного скрипта после установки, который предназначен для извлечения и выполнения двух разных файлов JavaScript.
В то время как warbeast2000 пытается получить доступ к закрытому SSH-ключу, kodiak2k предназначен для поиска ключа с именем "meow", что повышает вероятность того, что субъект угрозы, вероятно, использовал имя-заполнитель на ранних стадиях разработки.
"Этот вредоносный скрипт второго этапа считывает закрытый SSH-ключ, хранящийся в файле id_rsa, расположенном в каталоге <homedir>/.ssh", - сказала исследователь безопасности Лючия Валентич. "Затем он загрузил ключ в кодировке Base64 в репозиторий GitHub, контролируемый злоумышленником".
Было обнаружено, что последующие версии kodiak2k выполняют скрипт, найденный в архивированном проекте GitHub, в котором размещен постэксплуатационный фреймворк Empire. Скрипт способен запускать инструмент для взлома Mimikatz для сброса учетных данных из памяти процесса.
"Эта кампания - всего лишь последний пример того, как киберпреступники и злоумышленники используют менеджеры пакетов с открытым исходным кодом и связанную с ними инфраструктуру для поддержки кампаний по цепочке поставок вредоносного программного обеспечения, нацеленных на организации-разработчики и организации конечных пользователей", - сказал Валентич.
Модули с именами warbeast2000 и kodiak2k были опубликованы в начале месяца, и их загрузили 412 и 1281, прежде чем они были удалены разработчиками npm. Последние загрузки произошли 21 января 2024 года.
Компания ReversingLabs, занимающаяся безопасностью цепочки поставок программного обеспечения, которая сделала это открытие, заявила, что существует восемь различных версий warbeast2000 и более 30 версий kodiak2k.
Оба модуля предназначены для запуска постинсталляционного скрипта после установки, который предназначен для извлечения и выполнения двух разных файлов JavaScript.
В то время как warbeast2000 пытается получить доступ к закрытому SSH-ключу, kodiak2k предназначен для поиска ключа с именем "meow", что повышает вероятность того, что субъект угрозы, вероятно, использовал имя-заполнитель на ранних стадиях разработки.
"Этот вредоносный скрипт второго этапа считывает закрытый SSH-ключ, хранящийся в файле id_rsa, расположенном в каталоге <homedir>/.ssh", - сказала исследователь безопасности Лючия Валентич. "Затем он загрузил ключ в кодировке Base64 в репозиторий GitHub, контролируемый злоумышленником".
Было обнаружено, что последующие версии kodiak2k выполняют скрипт, найденный в архивированном проекте GitHub, в котором размещен постэксплуатационный фреймворк Empire. Скрипт способен запускать инструмент для взлома Mimikatz для сброса учетных данных из памяти процесса.
"Эта кампания - всего лишь последний пример того, как киберпреступники и злоумышленники используют менеджеры пакетов с открытым исходным кодом и связанную с ними инфраструктуру для поддержки кампаний по цепочке поставок вредоносного программного обеспечения, нацеленных на организации-разработчики и организации конечных пользователей", - сказал Валентич.
