NPM 恶意包通过 GitHub 提取数百个开发者SSH密钥
2024-1-24 17:52:21 Author: mp.weixin.qq.com(查看原文) 阅读量:10 收藏

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

npm 包注册表中存在两个恶意包,利用 GitHub 存储盗取自开发者系统上的 Base64 加密 SSH 密钥。

这些模块名为 “warbeast2000” 和 “kodiak2k”,在本月初发布,在被 npm 维护人员下架前分别吸引了412次和1281次下载。最近的一次下载发生在2024年1月21日。

ReversingLabs 表示,warbeast2000 的版本共有8个,而 kodiak2k 的版本超过30个。这两个模块均旨在安装后运行多个安装后脚本,它们均能检索并执行不同的 JavaScript 文件。

warbeast2000 试图访问 SSH 密钥,而kodiak2k 旨在寻找名为 “meow” 的密钥,这表明攻击者可能在开发的早期阶段使用了占位符名称。安全研究员 Lucija Valentić 指出,“第二个阶段的恶意脚本读取 <homedir>/.ssh 目录中 id_rsa 文件中存储的 SSH 私钥。之后将 Base64编码的密钥上传到受攻击和控制的 GitHub 仓库。“

kodiak2k 的后续版本执行在托管着 Empire 利用后框架的GitHub 项目中的脚本。该脚本能够启动 Mimikatz 黑客工具从进程内存中转储凭据。Valentić指出,“该攻击活动再次表明网络犯罪分子和恶意人员使用开源包管理器和相关基础设施支持针对开发组织机构和终端用户组织机构发起恶意软件供应链活动。”

代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com

推荐阅读

NPM 注册表恶作剧导致开发人员无法取消发布程序包

软件供应链投毒 — NPM 恶意组件分析

恶意 PyPI、NPM、Ruby 包正在瞄准 Mac 设备

恶意npm包窃取源代码

朝鲜黑客被指发动大规模 npm 恶意包攻击

原文链接
https://thehackernews.com/2024/01/malicious-npm-packages-exfiltrate-1600.html

题图:Pexels License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "” 吧~


文章来源: https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247518740&idx=2&sn=2a19b89ecf0b060ed05766e9be298779&chksm=ea94bb7edde332685fb1f9a65fbeb058226732b9c63abe7ba1afaf4b07814d596475041deaab&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh