Se ha descubierto que dos paquetes maliciosos descubiertos en el registro de paquetes npm aprovechan GitHub para almacenar claves SSH cifradas en Base64 robadas de los sistemas de desarrollador en los que se instalaron.
Los módulos nombrados bestia de guerra2000 y kodiak2k se publicaron a principios de mes, atrayendo 412 y 1.281 descargas antes de que fueran eliminados por los mantenedores de npm. Las descargas más recientes se produjeron el 21 de enero de 2024.
La empresa de seguridad de la cadena de suministro de software ReversingLabs, que hizo el descubrimiento, dijo que había ocho versiones diferentes de warbeast2000 y más de 30 versiones de kodiak2k.
Ambos módulos están diseñados para ejecutar un script postinstalación después de la instalación, que está diseñado para recuperar y ejecutar dos archivos JavaScript diferentes.
Mientras warbeast2000 intenta acceder a la clave SSH privada, kodiak2k está diseñado para buscar una clave llamada «meow», lo que plantea la posibilidad de que el actor de la amenaza haya utilizado un nombre de marcador de posición durante las primeras etapas del desarrollo.
«Este script malicioso de segunda etapa lee la clave SSH privada almacenada en el archivo id_rsa ubicado en el directorio
Se descubrió que las versiones posteriores de kodiak2k ejecutaban un script que se encuentra en un proyecto archivado de GitHub que aloja el Imperio marco posterior a la explotación. El script es capaz de iniciar el Mimikatz herramienta de piratería para volcar credenciales de la memoria del proceso.
«La campaña es sólo el último ejemplo de ciberdelincuentes y actores maliciosos que utilizan administradores de paquetes de código abierto e infraestructura relacionada para respaldar campañas de la cadena de suministro de software malicioso dirigidas a organizaciones de desarrollo y organizaciones de usuarios finales», dijo Valentić.