Minacce NPM Rivelate: Chiavi SSH di Sviluppatori Esposte tramite GitHub
Recentemente sono stati scoperti due pacchetti NPM malevoli, warbeast2000 e kodiak2k, nel registro dei pacchetti npm. Questi pacchetti, pubblicati all’inizio del mese, hanno attirato rispettivamente 412 e 1.281 download prima di essere rimossi dagli amministratori di npm.
La scoperta è stata effettuata dalla società di sicurezza della catena di fornitura software ReversingLabs.
Entrambi i moduli, warbeast2000 e kodiak2k, sono progettati per eseguire uno script post-installazione dopo l’installazione, ognuno capace di recuperare ed eseguire un diverso file JavaScript.
Mentre warbeast2000 tenta di accedere alla chiave SSH privata, kodiak2k è progettato per cercare una chiave denominata “meow”, suggerendo la possibilità che l’attaccante abbia usato un nome segnaposto durante le prime fasi dello sviluppo.
Il secondo script dannoso legge la chiave SSH privata memorizzata nel file id_rsa situato nella directory <homedir>/.ssh e successivamente carica la chiave codificata in Base64 su un repository GitHub controllato dall’attaccante.
Versioni successive di kodiak2k sono state scoperte ad eseguire uno script trovato in un progetto GitHub archiviato che ospita il framework di post-sfruttamento Empire.
Questo script è in grado di avviare lo strumento di hacking Mimikatz per estrarre credenziali dalla memoria del processo.
Questa campagna rappresenta l’ultimo esempio di come criminali informatici e attori malevoli sfruttino gestori di pacchetti open source e infrastrutture correlate per supportare campagne malevole nella catena di fornitura software, prendendo di mira sia organizzazioni di sviluppo che utenti finali.
La sicurezza informatica rimane cruciale per proteggere le chiavi crittografiche e garantire l’integrità del software utilizzato nelle applicazioni quotidiane.