Paquetes NPM maliciosos filtran cientos de claves SSH de desarrolladores a través de GitHub - Masterhacks Blog

Paquetes NPM maliciosos filtran cientos de claves SSH de desarrolladores a través de GitHub

Se han identificado dos paquetes maliciosos en el registro de paquetes npm que emplean GitHub para almacenar claves SSH cifradas en Base64, las cuales fueron sustraídas de los sistemas de desarrolladores donde fueron instalados.

Los módulos conocidos como warbeast2000 y kodiak2k fueron publicados al comienzo del mes, atrayendo 412 y 1,281 descargas respectivamente antes de ser retirados por los mantenedores de npm. Las descargas más recientes se registraron el 21 de enero de 2024.

ReversingLabs, una firma de seguridad especializada en la cadena de suministro de software, fue la encargada de descubrir estos paquetes maliciosos y señaló que existen ocho versiones diferentes de warbeast2000 y más de 30 versiones de kodiak2k.

Ambos módulos están diseñados para ejecutar un script postinstalación que busca recuperar y ejecutar dos archivos JavaScript distintos.

Mientras que warbeast2000 intenta acceder a la clave SSH privada, kodiak2k está configurado para buscar una clave denominada «meow», sugiriendo que el actor de amenazas probablemente utilizó un nombre provisional en las etapas iniciales del desarrollo.

«Este script malicioso en la segunda fase lee la clave SSH privada almacenada en el archivo id_rsa ubicado en el directorio /.ssh. Luego, carga la clave codificada en Base64 en un repositorio GitHub controlado por el atacante», explicó la investigadora de seguridad Lucija Valentić.

Versiones posteriores de kodiak2k fueron descubiertas ejecutando un script encontrado en un proyecto GitHub archivado que alberga el framework de post-explotación Empire. Este script tiene la capacidad de lanzar la herramienta de hacking Mimikatz para extraer credenciales de la memoria del proceso.

«Esta campaña es simplemente el último ejemplo de cómo los ciberdelincuentes y actores maliciosos aprovechan los administradores de paquetes de código abierto y la infraestructura relacionada para respaldar campañas maliciosas en la cadena de suministro de software, dirigidas tanto a organizaciones de desarrollo como a organizaciones de usuarios finales», señaló Valentić.

Gracias por apoyar el libre conocimiento con tu donación!
Bitcoin: bc1q4sw9260twfcxatj8mjp7358cyvrf8whzlelyhj
Ethereum: 0xFb93D2a3c9d1A0b83EE629c2dE1725BCa192e581
Litecoin: LbFduJmHvQXcpCnwfUT7aJ4DYoWSL3iQw8
Dogecoin: D7QQVqNR5rk215A4zd2gyzV9P2bLQtZHFV
Transferencia bancaria en México:
Cuenta CLABE: 646180224401848086 Nombre: Masterhacks LATAM Banco: STP

Unete a nuestros grupos:
WhatsApp: https://chat.whatsapp.com/C8fqiz3aDDc58VRRd1vdrb
Telegram: https://t.me/masterhacks_net
Canal de WhatsApp https://whatsapp.com/channel/0029VaBBLCn5vKAH9NOWCl3K

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *