استخراج صدها کلید SSH توسعه‌دهنده از طریق GitHub توسط بسته‌های مخرب NPM

دو بسته مخرب کشف شده در رجیستری بسته npm برای استفاده از GitHub برای ذخیره کلیدهای SSH رمزگذاری شده با Base64 به سرقت رفته از سیستم‌های توسعه‌دهنده‌ای که روی آنها نصب شده بودند، استفاده می‌کنند.

ماژول‌های warbeast2000[1] و [۲]kodiak2k در ابتدای ماه ژانویه ۲۰۲۴ منتشر شدند و [۳]۴۱۲ و [۴]۱۲۸۱ بار دانلود شدند قبل از اینکه توسط نگهبانان npm حذف شوند. آخرین بارگیری ها در ۲۱ ژانویه ۲۰۲۴ رخ داده است.

شرکت امنیتی زنجیره تأمین نرم‌افزار ReversingLabs که این کشف را انجام داد، گفت که هشت نسخه مختلف warbeast2000 و بیش از ۳۰ نسخه kodiak2k وجود دارد.

هر دو ماژول برای اجرای یک اسکریپت postinstall پس از نصب طراحی شده‌اند که هر کدام قادر به بازیابی و اجرای یک فایل جاوا اسکریپت متفاوت هستند.

درحالی‌که warbeast2000 تلاش می‌کند به کلید خصوصی SSH دسترسی پیدا کند، kodiak2k برای جستجوی کلیدی به نام «میو» طراحی شده است که این احتمال را افزایش می‌دهد که عامل تهدید احتمالاً در مراحل اولیه توسعه از یک نام مکان‌نما استفاده کرده است.

محقق امنیتی Lucija Valentić در مورد warbeast2000 گفت[۵]: «این اسکریپت مخرب مرحله دوم کلید SSH خصوصی ذخیره شده در فایل id_rsa واقع در فهرست <homedir>/.ssh را می‌خواند. سپس کلید رمزگذاری شده با Base64 را در یک مخزن GitHub تحت کنترل مهاجم آپلود کرد.»

نسخه‌های بعدی kodiak2k برای اجرای یک اسکریپت یافت شده در یک پروژه بایگانی‌شده GitHub که میزبان framework از نوع پس از بهره‌برداری [۶]Empire است، یافت شد. این اسکریپت قادر به راه‌اندازی ابزار هک [۷]Mimikatz برای حذف اعتبار از حافظه پردازش است.

Valentić گفت: “این کمپین آخرین نمونه از مجرمان سایبری و عوامل مخرب است که از مدیران بسته منبع‌باز و زیرساخت‌های مرتبط برای حمایت از کمپین‌های زنجیره تأمین نرم‌افزارهای مخرب که سازمان‌های توسعه‌دهنده و سازمان‌های کاربر نهایی را هدف قرار می‌دهند، استفاده می‌کنند.”