Se ha descubierto que dos paquetes maliciosos descubiertos en el registro de paquetes npm aprovechan GitHub para almacenar claves SSH cifradas en Base64 robadas de los sistemas de desarrollador en los que se instalaron.
Los módulos llamados warbeast2000 y kodiak2k se publicaron a principios de mes, atrayendo 412 y 1281 descargas antes de que los mantenedores de npm los eliminaran. Las descargas más recientes se produjeron el 21 de enero de 2024.
Sin embargo la empresa de seguridad de la cadena de suministro de software ReversingLabs, que hizo el descubrimiento, dijo que había ocho versiones diferentes de warbeast2000 y más de 30 versiones de kodiak2k.
EJECUCION
Ambos módulos están diseñados para ejecutar un script postinstalación después de la instalación, cada uno capaz de recuperar y ejecutar un archivo JavaScript diferente.
Mientras warbeast2000 intenta acceder a la clave SSH privada, kodiak2k está diseñado para buscar una clave llamada “meow”, lo que plantea la posibilidad de que el actor de la amenaza haya utilizado un nombre de marcador de posición durante las primeras etapas del desarrollo.
“Este script malicioso de segunda etapa lee la clave SSH privada almacenada en el archivo id_rsa ubicado en el directorio <homedir>/.ssh”, dijo la investigadora de seguridad Lucija Valentić sobre warbeast2000. “Luego cargó la clave codificada en Base64 en un repositorio de GitHub controlado por el atacante”.
Se descubrió que las versiones posteriores de kodiak2k ejecutaban un script que se encuentra en un proyecto archivado de GitHub que alberga el marco posterior a la explotación de Empire .
El script es capaz de iniciar la herramienta de piratería Mimikatz para volcar las credenciales de la memoria del proceso.
“La campaña es sólo el último ejemplo de ciberdelincuentes y actores maliciosos que utilizan administradores de paquetes de código abierto e infraestructura relacionada para respaldar campañas de la cadena de suministro de software malicioso dirigidas a organizaciones de desarrollo y organizaciones de usuarios finales”, dijo Valentić.
¿Encontró interesante este artículo? visita nuestro sitio de sisa news para enterarte de esto y muchas noticias más: https://sisaconsultores.mx/category/sisa-news/