{"id":1148764,"date":"2024-01-23T14:42:24","date_gmt":"2024-01-23T14:42:24","guid":{"rendered":"https:\/\/teknomers.com\/es\/paquetes-npm-maliciosos-filtran-cientos-de-claves-ssh-de-desarrolladores-a-traves-de-github\/"},"modified":"2024-01-23T14:42:29","modified_gmt":"2024-01-23T14:42:29","slug":"paquetes-npm-maliciosos-filtran-cientos-de-claves-ssh-de-desarrolladores-a-traves-de-github","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/paquetes-npm-maliciosos-filtran-cientos-de-claves-ssh-de-desarrolladores-a-traves-de-github\/","title":{"rendered":"Paquetes NPM maliciosos filtran cientos de claves SSH de desarrolladores a trav\u00e9s de GitHub"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>23 de enero de 2024<\/span>\ue804<\/i>Sala de redacci\u00f3n<\/span><\/span>Seguridad del software\/cadena de suministro<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Se ha descubierto que dos paquetes maliciosos descubiertos en el registro de paquetes npm aprovechan GitHub para almacenar claves SSH cifradas en Base64 robadas de los sistemas de desarrollador en los que se instalaron.<\/p>\n

Los m\u00f3dulos nombrados bestia de guerra2000<\/a> y kodiak2k<\/a> se publicaron a principios de mes, atrayendo 412<\/a> y 1.281 descargas<\/a> antes de que fueran eliminados por los mantenedores de npm. Las descargas m\u00e1s recientes se produjeron el 21 de enero de 2024.<\/p>\n

La empresa de seguridad de la cadena de suministro de software ReversingLabs, que hizo el descubrimiento, dijo que hab\u00eda ocho versiones diferentes de warbeast2000 y m\u00e1s de 30 versiones de kodiak2k.<\/p>\n

Ambos m\u00f3dulos est\u00e1n dise\u00f1ados para ejecutar un script postinstalaci\u00f3n despu\u00e9s de la instalaci\u00f3n, que est\u00e1 dise\u00f1ado para recuperar y ejecutar dos archivos JavaScript diferentes.<\/p>\n

\"La<\/a><\/center><\/div>\n

Mientras warbeast2000 intenta acceder a la clave SSH privada, kodiak2k est\u00e1 dise\u00f1ado para buscar una clave llamada “meow”, lo que plantea la posibilidad de que el actor de la amenaza haya utilizado un nombre de marcador de posici\u00f3n durante las primeras etapas del desarrollo.<\/p>\n

“Este script malicioso de segunda etapa lee la clave SSH privada almacenada en el archivo id_rsa ubicado en el directorio \/.ssh”, dijo la investigadora de seguridad Lucija Valenti\u0107. dicho<\/a>. “Luego carg\u00f3 la clave codificada en Base64 en un repositorio de GitHub controlado por el atacante”.<\/p>\n

Se descubri\u00f3 que las versiones posteriores de kodiak2k ejecutaban un script que se encuentra en un proyecto archivado de GitHub que aloja el Imperio<\/a> marco posterior a la explotaci\u00f3n. El script es capaz de iniciar el Mimikatz<\/a> herramienta de pirater\u00eda para volcar credenciales de la memoria del proceso.<\/p>\n

“La campa\u00f1a es s\u00f3lo el \u00faltimo ejemplo de ciberdelincuentes y actores maliciosos que utilizan administradores de paquetes de c\u00f3digo abierto e infraestructura relacionada para respaldar campa\u00f1as de la cadena de suministro de software malicioso dirigidas a organizaciones de desarrollo y organizaciones de usuarios finales”, dijo Valenti\u0107.<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 interesante este art\u00edculo? Siga con nosotros Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n