Pacotes NPM mal-intencionados exfiltram centenas de chaves SSH de desenvolvedores via GitHub
24 de Janeiro de 2024

Dois pacotes maliciosos descobertos no registro de pacotes npm foram descobertos ao se utilizar do GitHub para armazenar chaves SSH criptografadas em Base64 roubadas dos sistemas de desenvolvedores nos quais estavam instalados.

Os módulos, chamados warbeast2000 e kodiak2k, foram publicados no início do mês, atraindo 412 e 1.281 downloads antes de serem retirados pelos mantenedores do npm.

Os downloads mais recentes ocorreram em 21 de janeiro de 2024.

A ReversingLabs, empresa de segurança da cadeia de suprimentos de software que fez a descoberta, disse que havia oito versões diferentes do warbeast2000 e mais de 30 versões do kodiak2k.

Ambos os módulos são projetados para executar um script pós-instalação depois da instalação, cada um capaz de recuperar e executar um arquivo JavaScript diferente.

Enquanto o warbeast2000 tenta acessar a chave SSH privada, o kodiak2k é projetado para procurar uma chave chamada "meow", aumentando a possibilidade de que o ator da ameaça provavelmente usou um nome de espaço reservado nas fases iniciais do desenvolvimento.

"Este segundo script malicioso lê a chave SSH privada armazenada no arquivo id_rsa localizado no diretório <homedir>/.ssh", disse a pesquisadora de segurança Lucija Valentić sobre o warbeast2000.

"Ele então carregou a chave codificada em Base64 em um repositório GitHub controlado pelo atacante".

Versões subsequentes do kodiak2k foram encontradas para executar um script encontrado em um projeto GitHub arquivado hospedando a estrutura pós-exploração do Império.

O script é capaz de lançar a ferramenta de hacking Mimikatz para despejar credenciais da memória do processo.

"A campanha é apenas o último exemplo de criminosos cibernéticos e atores maliciosos usando gerenciadores de pacotes de código aberto e infraestrutura relacionada para apoiar campanhas maliciosas da cadeia de suprimentos de software que visam organizações de desenvolvimento e organizações de usuário final", disse Valentić.

Publicidade

Cuidado com o deauth, a tropa do SYWP vai te pegar

A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo. Saiba mais...