Zwei schädliche Pakete, die auf dem npm-Paketregister entdeckt wurden, nutzen GitHub, um gestohlene Base64-verschlüsselte SSH-Schlüssel von Entwicklersystemen zu speichern, auf denen sie installiert waren.
Die Module namens warbeast2000 und kodiak2k wurden zu Beginn des Monats veröffentlicht und wurden 412 bzw. 1281 Mal heruntergeladen, bevor sie von den npm-Maintainern entfernt wurden. Die neuesten Downloads fanden am 21. Januar 2024 statt.
Das Sicherheitsunternehmen ReversingLabs, das die Entdeckung gemacht hat, gab an, dass es acht verschiedene Versionen von warbeast2000 und über 30 Versionen von kodiak2k gibt.
Beide Module sind so konzipiert, dass sie nach der Installation ein Post-Installations-Skript ausführen, das zwei verschiedene JavaScript-Dateien abruft und ausführt.
Während warbeast2000 versucht, auf den privaten SSH-Schlüssel zuzugreifen, sucht kodiak2k nach einem Schlüssel namens „meow“. Dies legt nahe, dass der Bedrohungsakteur wahrscheinlich einen Platzhalternamen während der frühen Entwicklungsphase verwendet hat.
„Dieses schädliche Skript in der zweiten Phase liest den privaten SSH-Schlüssel aus der in der
Bei den nachfolgenden Versionen von kodiak2k wurde festgestellt, dass sie ein Skript ausführen, das in einem archivierten GitHub-Projekt gehostet wird und das Empire Post-Exploitation-Framework enthält. Das Skript ist in der Lage, das Mimikatz-Hacking-Tool auszuführen, um Anmeldeinformationen aus dem Prozessspeicher abzurufen.
„Die Kampagne ist nur das jüngste Beispiel für Cyberkriminelle und böswillige Akteure, die Open-Source-Paketmanager und damit verbundene Infrastruktur nutzen, um schädliche Software-Supply-Chain-Kampagnen durchzuführen, die auf Entwicklungsorganisationen und Endbenutzerorganisationen abzielen“, sagte Valentić.