Компания ReversingLabs обнаружилав популярном реестре пакетов NPM два вредоносных модуля, использующих GitHub для хранения SSH-ключей, зашифрованных в Base64, которые ранее были украдены с систем разработчиков.
Модули под названием warbeast2000 и kodiak2k были опубликованы в начале января и собрали 412 и 1281 загрузку соответственно, прежде чем их удалили сотрудники npm. Последние загрузки произошли 21 января. ReversingLabs сообщает, что было обнаружено 8 различных версий warbeast2000 и более 30 версий kodiak2k. Оба модуля предназначены для запуска скрипта после установки, каждый из которых способен извлекать и исполнять различные файлы JavaScript.
Модуль warbeast2000 пытается получить доступ к частному SSH-ключу, а kodiak2k предназначен для поиска ключа с именем “meow”, что указывает на возможное использование разработчиками имен-заполнителей (placeholder names) на ранних этапах разработки.
Второй этап вредоносного скрипта считывает частный SSH-ключ из файла id_rsa, расположенного в директории “/.ssh”. Затем он загружает закодированный в Base64 ключ в репозиторий GitHub, контролируемый злоумышленником. Последующие версии kodiak2k выполняли сценарий из архивированного проекта GitHub, в котором хранится фреймворк постэксплуатации Empire. Он способен запускать Mimikatz, который извлекает учетные данные из памяти процесса.
Обнаруженная кампания – очередной пример того, как киберпреступники используют менеджеры пакетов с открытым исходным кодом и связанную с ними инфраструктуру для поддержки вредоносных кампаний в области цепочек поставок ПО, нацеленных на организации разработчиков и конечных пользователей.