Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

В реестре npm обнаружены очередные вредоносные модули

25/01/24

npm2-1

Компания ReversingLabs обнаружила в популярном реестре пакетов NPM два вредоносных модуля, использующих GitHub для хранения SSH-ключей, зашифрованных в Base64, которые ранее были украдены с систем разработчиков.

Модули под названием warbeast2000 и kodiak2k были опубликованы в начале января и собрали 412 и 1281 загрузку соответственно, прежде чем их удалили сотрудники npm, сообщает Securitylab. Последние загрузки произошли 21 января. ReversingLabs сообщает, что было обнаружено 8 различных версий warbeast2000 и более 30 версий kodiak2k. Оба модуля предназначены для запуска скрипта после установки, каждый из которых способен извлекать и исполнять различные файлы JavaScript.

Модуль warbeast2000 пытается получить доступ к частному SSH-ключу, а kodiak2k предназначен для поиска ключа с именем «meow», что указывает на возможное использование разработчиками имен-заполнителей (placeholder names) на ранних этапах разработки.

Второй этап вредоносного скрипта считывает частный SSH-ключ из файла id_rsa, расположенного в директории «<homedir>/.ssh». Затем он загружает закодированный в Base64 ключ в репозиторий GitHub, контролируемый злоумышленником. Последующие версии kodiak2k выполняли сценарий из архивированного проекта GitHub, в котором хранится фреймворк постэксплуатации Empire. Он способен запускать Mimikatz, который извлекает учетные данные из памяти процесса.

Обнаруженная кампания – очередной пример того, как киберпреступники используют менеджеры пакетов с открытым исходным кодом и связанную с ними инфраструктуру для поддержки вредоносных кампаний в области цепочек поставок ПО, нацеленных на организации разработчиков и конечных пользователей.

Темы:ПреступленияGitHubnpmReversingLabs
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...