Se ha identificado que dos paquetes NPM maliciosos utilizan GitHub para almacenar claves SSH cifradas con Base64, las cuales fueron sustraídas de los sistemas de los desarrolladores en los que estaban instalados.

Los módulos denominados warbeast2000 (412 descargas) y kodiak2k (1.281 descargas) fueron publicados a principios de enero (Las descargas mas recientes datan del 21 de enero), acumulando 1.693 descargas, antes de ser eliminados por los administradores de NPM.

Lucija Valentić, investigadora de la firma de seguridad ReversingLabs, señaló la existencia de ocho versiones distintas de warbeast2000 y más de 30 versiones de kodiak2k. Ambos módulos están diseñados para ejecutar un script posterior a la instalación que cuenta con la capacidad de recuperar y ejecutar archivos JavaScript diferentes en cada caso.

warbeast2000 busca acceder a la clave SSH privada. El script malicioso de segunda etapa lee la clave SSH privada almacenada en el archivo id_rsa en el directorio ‘<homedir>/.ssh directory’. Posteriormente, carga la clave codificada en Base64 en un repositorio de GitHub controlado por el atacante.

kodiak2k está diseñado para localizar una clave llamada ‘meow’, sugiriendo que el actor de amenazas posiblemente haya utilizado un nombre de marcador de posición durante las etapas iniciales del desarrollo. Versiones posteriores tienen la capacidad de iniciar la herramienta de pirateo Mimikatz para extraer credenciales de la memoria del proceso.

Fuente:

Malicious NPM Packages Exfiltrate Hundreds of Developer SSH Keys via GitHub