Npm paket kayıt defterinde keşfedilen iki kötü amaçlı paketin, kuruldukları geliştirici sistemlerinden çalınan Base64 şifreli SSH anahtarlarını depolamak için GitHub’dan yararlandığı tespit edildi.
Adı geçen modüller savaş canavarı2000 Ve kodiak2k ayın başında yayınlandı ve ilgi gördü 412 Ve 1.281 indirme npm bakımcıları tarafından kapatılmadan önce. En son indirmeler 21 Ocak 2024’te gerçekleşti.
Keşfi gerçekleştiren yazılım tedarik zinciri güvenlik firması ReversingLabs, warbeast2000’in sekiz farklı versiyonu ve kodiak2k’nin 30’dan fazla versiyonunun bulunduğunu söyledi.
Her iki modül de kurulumdan sonra bir kurulum sonrası betiği çalıştıracak şekilde tasarlanmıştır; her biri farklı bir JavaScript dosyasını alıp çalıştırabilir.
Warbeast2000 özel SSH anahtarına erişmeye çalışırken, kodiak2k “miyav” adlı bir anahtar arayacak şekilde tasarlanmıştır; bu da tehdit aktörünün geliştirmenin ilk aşamalarında muhtemelen bir yer tutucu ad kullanmış olma olasılığını artırır.
Güvenlik araştırmacısı Lucija Valentić, “Bu ikinci aşamadaki kötü amaçlı komut dosyası,
Kodiak2k’nin sonraki sürümlerinin, arşivlenmiş bir GitHub projesinde bulunan bir komut dosyasını çalıştırdığı bulundu. İmparatorluk sömürü sonrası çerçeve. Komut dosyası şunları başlatabilir: Mimikatz Kimlik bilgilerini işlem belleğinden boşaltmak için bilgisayar korsanlığı aracı.
Valentić, “Kampanya, siber suçluların ve kötü niyetli aktörlerin, geliştirme kuruluşlarını ve son kullanıcı kuruluşlarını hedef alan kötü amaçlı yazılım tedarik zinciri kampanyalarını desteklemek için açık kaynak paket yöneticilerini ve ilgili altyapıyı kullandığının en son örneğidir” dedi.
