Npm paket kayıt defterinde keşfedilen iki kötü amaçlı paketin, kuruldukları geliştirici sistemlerinden çalınan Base64 şifreli SSH anahtarlarını depolamak için GitHub’dan yararlandığı tespit edildi.
Warbeast2000 ve kodiak2k adlı modüller ay başında yayınlandı ve npm bakımcıları tarafından kaldırılmadan önce 412 ve 1.281 kez indirildi. En son indirmeler 21 Ocak 2024’te gerçekleşti.
Keşfi gerçekleştiren yazılım tedarik zinciri güvenlik firması ReversingLabs, warbeast2000’in sekiz farklı versiyonu ve kodiak2k’nin 30’dan fazla versiyonunun bulunduğunu söyledi.
Her iki modül de kurulumdan sonra iki farklı JavaScript dosyasını almak ve yürütmek için tasarlanmış bir kurulum sonrası komut dosyasını çalıştıracak şekilde tasarlanmıştır.
Warbeast2000 özel SSH anahtarına erişmeye çalışırken, kodiak2k “miyav” adlı bir anahtar arayacak şekilde tasarlanmıştır; bu da tehdit aktörünün geliştirmenin ilk aşamalarında muhtemelen bir yer tutucu ad kullanmış olma olasılığını artırır.
“Bu ikinci aşamadaki kötü amaçlı komut dosyası, id_rsa dosyasında saklanan özel SSH anahtarını okuyor.
Kodiak2k’nin sonraki sürümlerinin, Empire’ın kullanım sonrası çerçevesini barındıran arşivlenmiş bir GitHub projesinde bulunan bir betiği çalıştırdığı tespit edildi. Betik, kimlik bilgilerini işlem belleğinden boşaltmak için Mimikatz hackleme aracını başlatabilir.
Valentić, “Kampanya, siber suçluların ve kötü niyetli aktörlerin, geliştirme kuruluşlarını ve son kullanıcı kuruluşlarını hedef alan kötü amaçlı yazılım tedarik zinciri kampanyalarını desteklemek için açık kaynak paket yöneticilerini ve ilgili altyapıyı kullandığının en son örneğidir” dedi.