Новости npm-модули против разработчиков: GitHub в роли склада краденого

NewsMaker

I'm just a script
Премиум
13,852
20
8 Ноя 2022
Злоумышленники придумали хитрый способ распространять скрипты через GitHub


5lxnxlmmh1fi0azjjv7n7bl6zjcg3uzf.jpg


Компания ReversingLabs Для просмотра ссылки Войди или Зарегистрируйся в популярном реестре пакетов NPM два вредоносных модуля, использующих GitHub для хранения SSH -ключей, зашифрованных в Base64 , которые ранее были украдены с систем разработчиков.

Модули под названием Для просмотра ссылки Войди или Зарегистрируйся и Для просмотра ссылки Войди или Зарегистрируйся были опубликованы в начале января и собрали Для просмотра ссылки Войди или Зарегистрируйся и Для просмотра ссылки Войди или Зарегистрируйся загрузку соответственно, прежде чем их удалили сотрудники npm. Последние загрузки произошли 21 января. ReversingLabs сообщает, что было обнаружено 8 различных версий warbeast2000 и более 30 версий kodiak2k. Оба модуля предназначены для запуска скрипта после установки, каждый из которых способен извлекать и исполнять различные файлы JavaScript .

Модуль warbeast2000 пытается получить доступ к частному SSH-ключу, а kodiak2k предназначен для поиска ключа с именем «meow», что указывает на возможное использование разработчиками имен-заполнителей (placeholder names) на ранних этапах разработки.

Второй этап вредоносного скрипта считывает частный SSH-ключ из файла id_rsa, расположенного в директории «<homedir>/.ssh». Затем он загружает закодированный в Base64 ключ в репозиторий GitHub, контролируемый злоумышленником. Последующие версии kodiak2k выполняли сценарий из архивированного проекта GitHub, в котором хранится Для просмотра ссылки Войди или Зарегистрируйся Empire. Он способен запускать Mimikatz , который извлекает учетные данные из памяти процесса.

Обнаруженная кампания – очередной пример того, как киберпреступники используют менеджеры пакетов с открытым исходным кодом и связанную с ними инфраструктуру для поддержки вредоносных кампаний в области цепочек поставок ПО, нацеленных на организации разработчиков и конечных пользователей.
 
Источник новости
www.securitylab.ru

Похожие темы