23 de enero de 2024Sala de prensaSeguridad del software/Cadena de suministro Se descubrió que dos paquetes maliciosos descubiertos en el registro de paquetes npm aprovechan GitHub para almacenar claves SSH cifradas en Base64 robadas de los sistemas de desarrollador en los que se instalaron. Los módulos llamados warbeast2000 y kodiak2k se publicaron a principios de mes, atrayendo 412 y 1281 descargas antes de que los mantenedores de npm los eliminaran. Las descargas más recientes se produjeron el 21 de enero de 2024. La empresa de seguridad de la cadena de suministro de software ReversingLabs, que hizo el descubrimiento, dijo que había ocho versiones diferentes de warbeast2000 y más de 30 versiones de kodiak2k. Ambos módulos están diseñados para ejecutar un script postinstalación después de la instalación, cada uno capaz de recuperar y ejecutar un archivo JavaScript diferente. Mientras warbeast2000 intenta acceder a la clave SSH privada, kodiak2k está diseñado para buscar una clave llamada «meow», lo que plantea la posibilidad de que el actor de la amenaza haya utilizado un nombre de marcador de posición durante las primeras etapas del desarrollo. «Este script malicioso de segunda etapa lee la clave SSH privada almacenada en el archivo id_rsa ubicado en el
Deja una respuesta