Due pacchetti malevoli scoperti nel registro dei pacchetti npm, noti come “warbeast2000” e “kodiak2k”, sono stati trovati utilizzare GitHub per archiviare chiavi SSH rubate e criptate in Base64 dai sistemi degli sviluppatori su cui sono stati installati. Questi moduli sono stati pubblicati all’inizio del mese, attirando 412 e 1.281 download rispettivamente prima di essere rimossi dai manutentori di npm.
Funzionamento dei Pacchetti Malevoli
Script Post-Installazione: Entrambi i moduli sono progettati per eseguire uno script post-installazione, ognuno in grado di recuperare ed eseguire un file JavaScript diverso.
Warbeast2000: Questo pacchetto tenta di accedere alla chiave SSH privata, mentre “kodiak2k” cerca una chiave denominata “meow”, suggerendo che l’autore della minaccia potrebbe aver usato un nome temporaneo durante le prime fasi di sviluppo.
Esfiltrazione delle Chiavi SSH: Il secondo script malevolo legge la chiave SSH privata memorizzata nel file id_rsa nella directory <homedir>/.ssh e la carica criptata in Base64 su un repository GitHub controllato dall’attaccante.
kodiak2k e Empire Framework: Versioni successive di kodiak2k sono state trovate per eseguire uno script trovato in un progetto GitHub archiviato che ospita il framework di post-sfruttamento Empire, capace di lanciare lo strumento di hacking Mimikatz per dumpare credenziali dalla memoria dei processi.
Impatto e Preoccupazioni
Questa campagna è solo l’ultimo esempio di criminali informatici e attori malevoli che utilizzano gestori di pacchetti open source e infrastrutture correlate per supportare campagne malevole nella catena di fornitura di software, prendendo di mira organizzazioni di sviluppo e organizzazioni utenti finali.
Questo incidente solleva preoccupazioni significative sulla sicurezza nella catena di fornitura di software e sottolinea l’importanza di esercitare cautela e vigilanza quando si utilizzano pacchetti da fonti esterne, specialmente in ambienti di sviluppo sensibili.