23 de enero de 2024Sala de prensaSeguridad del software/Cadena de suministro Se descubrió que dos paquetes maliciosos descubiertos en el registro de paquetes npm aprovechan GitHub para almacenar claves SSH cifradas en Base64 robadas de los sistemas de desarrollador en los que se instalaron. Los módulos llamados warbeast2000 y kodiak2k se publicaron a principios de mes, atrayendo 412 y 1281 descargas antes de que los mantenedores de npm los eliminaran. Las descargas más recientes se produjeron el 21 de enero de 2024. La empresa de seguridad de la cadena de suministro de software ReversingLabs, que hizo el descubrimiento, dijo que había ocho versiones diferentes de warbeast2000 y más de 30 versiones de kodiak2k. Ambos módulos están diseñados para ejecutar un script postinstalación después de la instalación, cada uno capaz de recuperar y ejecutar un archivo JavaScript diferente. Mientras warbeast2000 intenta acceder a la clave SSH privada, kodiak2k está diseñado para buscar una clave llamada «meow», lo que plantea la posibilidad de que el actor de la amenaza haya utilizado un nombre de marcador de posición durante las primeras etapas del desarrollo. «Este script malicioso de segunda etapa lee la clave SSH privada almacenada en el archivo id_rsa ubicado en el /.ssh», dijo la investigadora de seguridad Lucija Valentić sobre warbeast2000. «Luego cargó la clave codificada en Base64 a un repositorio de GitHub controlado por el atacante». Se descubrió que las versiones posteriores de kodiak2k ejecutaban un script que se encuentra en un proyecto archivado de GitHub que aloja el «El marco de post-explotación Empire. El script es capaz de lanzar la herramienta de piratería Mimikatz para volcar las credenciales de la memoria del proceso. «La campaña es sólo el último ejemplo de cibercriminales y actores maliciosos que utilizan administradores de paquetes de código abierto e infraestructura relacionada para respaldar la cadena de suministro de software malicioso. campañas dirigidas a organizaciones de desarrollo y organizaciones de usuarios finales», dijo Valentić. ¿Le pareció interesante este artículo? Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Source link