Il a été découvert que deux packages malveillants découverts dans le registre des packages npm exploitaient GitHub pour stocker les clés SSH cryptées en Base64 volées sur les systèmes de développement sur lesquels ils étaient installés.
Les modules nommés bête de guerre2000 et kodiak2k ont été publiés au début du mois, attirant 412 et 1 281 téléchargements avant qu’ils ne soient supprimés par les responsables de npm. Les téléchargements les plus récents ont eu lieu le 21 janvier 2024.
La société de sécurité de la chaîne d’approvisionnement en logiciels ReversingLabs, qui a fait la découverte, a déclaré qu’il existait huit versions différentes de warbeast2000 et plus de 30 versions de kodiak2k.
Les deux modules sont conçus pour exécuter un script de post-installation après l’installation, conçu pour récupérer et exécuter deux fichiers JavaScript différents.
Alors que warbeast2000 tente d’accéder à la clé privée SSH, kodiak2k est conçu pour rechercher une clé nommée « meow », ce qui soulève la possibilité que l’acteur malveillant ait probablement utilisé un nom d’espace réservé au cours des premières étapes du développement.
« Ce script malveillant de deuxième étape lit la clé privée SSH stockée dans le fichier id_rsa situé dans le répertoire
Il a été constaté que les versions ultérieures de kodiak2k exécutaient un script trouvé dans un projet GitHub archivé hébergeant le Empire cadre post-exploitation. Le script est capable de lancer le Mimikatz outil de piratage pour vider les informations d’identification de la mémoire du processus.
« Cette campagne n’est que le dernier exemple de cybercriminels et d’acteurs malveillants utilisant des gestionnaires de packages open source et l’infrastructure associée pour soutenir des campagnes de chaîne d’approvisionnement de logiciels malveillants ciblant les organisations de développement et les organisations d’utilisateurs finaux », a déclaré Valentić.