{"id":1114462,"date":"2024-01-23T12:32:27","date_gmt":"2024-01-23T14:32:27","guid":{"rendered":"https:\/\/teknomers.com\/fr\/des-packages-npm-malveillants-exfiltrent-des-centaines-de-cles-ssh-de-developpeur-via-github\/"},"modified":"2024-01-23T12:32:32","modified_gmt":"2024-01-23T14:32:32","slug":"des-packages-npm-malveillants-exfiltrent-des-centaines-de-cles-ssh-de-developpeur-via-github","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/des-packages-npm-malveillants-exfiltrent-des-centaines-de-cles-ssh-de-developpeur-via-github\/","title":{"rendered":"Des packages NPM malveillants exfiltrent des centaines de cl\u00e9s SSH de d\u00e9veloppeur via GitHub"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>23 janvier 2024<\/span>\ue804<\/i>R\u00e9daction<\/span><\/span>S\u00e9curit\u00e9 logicielle \/ Cha\u00eene d’approvisionnement<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Il a \u00e9t\u00e9 d\u00e9couvert que deux packages malveillants d\u00e9couverts dans le registre des packages npm exploitaient GitHub pour stocker les cl\u00e9s SSH crypt\u00e9es en Base64 vol\u00e9es sur les syst\u00e8mes de d\u00e9veloppement sur lesquels ils \u00e9taient install\u00e9s.<\/p>\n

Les modules nomm\u00e9s b\u00eate de guerre2000<\/a> et kodiak2k<\/a> ont \u00e9t\u00e9 publi\u00e9s au d\u00e9but du mois, attirant 412<\/a> et 1\u00a0281 t\u00e9l\u00e9chargements<\/a> avant qu’ils ne soient supprim\u00e9s par les responsables de npm. Les t\u00e9l\u00e9chargements les plus r\u00e9cents ont eu lieu le 21 janvier 2024.<\/p>\n

La soci\u00e9t\u00e9 de s\u00e9curit\u00e9 de la cha\u00eene d’approvisionnement en logiciels ReversingLabs, qui a fait la d\u00e9couverte, a d\u00e9clar\u00e9 qu’il existait huit versions diff\u00e9rentes de warbeast2000 et plus de 30 versions de kodiak2k.<\/p>\n

Les deux modules sont con\u00e7us pour ex\u00e9cuter un script de post-installation apr\u00e8s l’installation, con\u00e7u pour r\u00e9cup\u00e9rer et ex\u00e9cuter deux fichiers JavaScript diff\u00e9rents.<\/p>\n

\"La<\/a><\/center><\/div>\n

Alors que warbeast2000 tente d’acc\u00e9der \u00e0 la cl\u00e9 priv\u00e9e SSH, kodiak2k est con\u00e7u pour rechercher une cl\u00e9 nomm\u00e9e \u00ab\u00a0meow\u00a0\u00bb, ce qui soul\u00e8ve la possibilit\u00e9 que l’acteur malveillant ait probablement utilis\u00e9 un nom d’espace r\u00e9serv\u00e9 au cours des premi\u00e8res \u00e9tapes du d\u00e9veloppement.<\/p>\n

“Ce script malveillant de deuxi\u00e8me \u00e9tape lit la cl\u00e9 priv\u00e9e SSH stock\u00e9e dans le fichier id_rsa situ\u00e9 dans le r\u00e9pertoire \/.ssh”, a d\u00e9clar\u00e9 la chercheuse en s\u00e9curit\u00e9 Lucija Valenti\u0107. dit<\/a>. “Il a ensuite t\u00e9l\u00e9charg\u00e9 la cl\u00e9 cod\u00e9e en Base64 vers un r\u00e9f\u00e9rentiel GitHub contr\u00f4l\u00e9 par un attaquant.”<\/p>\n

Il a \u00e9t\u00e9 constat\u00e9 que les versions ult\u00e9rieures de kodiak2k ex\u00e9cutaient un script trouv\u00e9 dans un projet GitHub archiv\u00e9 h\u00e9bergeant le Empire<\/a> cadre post-exploitation. Le script est capable de lancer le Mimikatz<\/a> outil de piratage pour vider les informations d’identification de la m\u00e9moire du processus.<\/p>\n

“Cette campagne n’est que le dernier exemple de cybercriminels et d’acteurs malveillants utilisant des gestionnaires de packages open source et l’infrastructure associ\u00e9e pour soutenir des campagnes de cha\u00eene d’approvisionnement de logiciels malveillants ciblant les organisations de d\u00e9veloppement et les organisations d’utilisateurs finaux”, a d\u00e9clar\u00e9 Valenti\u0107.<\/p>\n

<\/p>\n

Vous avez trouv\u00e9 cet article int\u00e9ressant ? Suivez-nous sur Twitter \uf099<\/i><\/a> et LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n