Kötü Amaçlı NPM Paketleri GitHub Aracılığıyla Yüzlerce Geliştirici SSH Anahtarını Sızdırıyor


23 Ocak 2024Haber odasıYazılım Güvenliği / Tedarik Zinciri

Kötü Amaçlı NPM Paketleri

Npm paket kayıt defterinde keşfedilen iki kötü amaçlı paketin, kuruldukları geliştirici sistemlerinden çalınan Base64 şifreli SSH anahtarlarını depolamak için GitHub’dan yararlandığı tespit edildi.

Warbeast2000 ve kodiak2k adlı modüller ay başında yayınlandı ve npm bakımcıları tarafından kaldırılmadan önce 412 ve 1.281 kez indirildi. En son indirmeler 21 Ocak 2024’te gerçekleşti.

Keşfi gerçekleştiren yazılım tedarik zinciri güvenlik firması ReversingLabs, warbeast2000’in sekiz farklı versiyonu ve kodiak2k’nin 30’dan fazla versiyonunun bulunduğunu söyledi.

Her iki modül de kurulumdan sonra iki farklı JavaScript dosyasını almak ve yürütmek için tasarlanmış bir kurulum sonrası komut dosyasını çalıştıracak şekilde tasarlanmıştır.

Siber güvenlik

Warbeast2000 özel SSH anahtarına erişmeye çalışırken, kodiak2k “miyav” adlı bir anahtar arayacak şekilde tasarlanmıştır; bu da tehdit aktörünün geliştirmenin ilk aşamalarında muhtemelen bir yer tutucu ad kullanmış olma olasılığını artırır.

“Bu ikinci aşamadaki kötü amaçlı komut dosyası, id_rsa dosyasında saklanan özel SSH anahtarını okuyor. Güvenlik araştırmacısı Lucija Valentić, “./.ssh dizini” dedi. “Daha sonra Base64 kodlu anahtarı saldırgan tarafından kontrol edilen GitHub deposuna yükledi.”

Kodiak2k’nin sonraki sürümlerinin, Empire’ın kullanım sonrası çerçevesini barındıran arşivlenmiş bir GitHub projesinde bulunan bir betiği çalıştırdığı tespit edildi. Betik, kimlik bilgilerini işlem belleğinden boşaltmak için Mimikatz hackleme aracını başlatabilir.

Valentić, “Kampanya, siber suçluların ve kötü niyetli aktörlerin, geliştirme kuruluşlarını ve son kullanıcı kuruluşlarını hedef alan kötü amaçlı yazılım tedarik zinciri kampanyalarını desteklemek için açık kaynak paket yöneticilerini ve ilgili altyapıyı kullandığının en son örneğidir” dedi.

Bu makaleyi ilginç buldunuz mu? Bizi takip edin heyecan ve yayınladığımız daha özel içerikleri okumak için LinkedIn.





Source link