- 9,344
- 18
- 8 Ноя 2022
Злоумышленники придумали хитрый способ распространять скрипты через GitHub
Компания ReversingLabs Для просмотра ссылки Войдиили Зарегистрируйся в популярном реестре пакетов NPM два вредоносных модуля, использующих GitHub для хранения SSH -ключей, зашифрованных в Base64 , которые ранее были украдены с систем разработчиков.
Модули под названием Для просмотра ссылки Войдиили Зарегистрируйся и Для просмотра ссылки Войди или Зарегистрируйся были опубликованы в начале января и собрали Для просмотра ссылки Войди или Зарегистрируйся и Для просмотра ссылки Войди или Зарегистрируйся загрузку соответственно, прежде чем их удалили сотрудники npm. Последние загрузки произошли 21 января. ReversingLabs сообщает, что было обнаружено 8 различных версий warbeast2000 и более 30 версий kodiak2k. Оба модуля предназначены для запуска скрипта после установки, каждый из которых способен извлекать и исполнять различные файлы JavaScript .
Модуль warbeast2000 пытается получить доступ к частному SSH-ключу, а kodiak2k предназначен для поиска ключа с именем «meow», что указывает на возможное использование разработчиками имен-заполнителей (placeholder names) на ранних этапах разработки.
Второй этап вредоносного скрипта считывает частный SSH-ключ из файла id_rsa, расположенного в директории «<homedir>/.ssh». Затем он загружает закодированный в Base64 ключ в репозиторий GitHub, контролируемый злоумышленником. Последующие версии kodiak2k выполняли сценарий из архивированного проекта GitHub, в котором хранится Для просмотра ссылки Войдиили Зарегистрируйся Empire. Он способен запускать Mimikatz , который извлекает учетные данные из памяти процесса.
Обнаруженная кампания – очередной пример того, как киберпреступники используют менеджеры пакетов с открытым исходным кодом и связанную с ними инфраструктуру для поддержки вредоносных кампаний в области цепочек поставок ПО, нацеленных на организации разработчиков и конечных пользователей.
Компания ReversingLabs Для просмотра ссылки Войди
Модули под названием Для просмотра ссылки Войди
Модуль warbeast2000 пытается получить доступ к частному SSH-ключу, а kodiak2k предназначен для поиска ключа с именем «meow», что указывает на возможное использование разработчиками имен-заполнителей (placeholder names) на ранних этапах разработки.
Второй этап вредоносного скрипта считывает частный SSH-ключ из файла id_rsa, расположенного в директории «<homedir>/.ssh». Затем он загружает закодированный в Base64 ключ в репозиторий GitHub, контролируемый злоумышленником. Последующие версии kodiak2k выполняли сценарий из архивированного проекта GitHub, в котором хранится Для просмотра ссылки Войди
Обнаруженная кампания – очередной пример того, как киберпреступники используют менеджеры пакетов с открытым исходным кодом и связанную с ними инфраструктуру для поддержки вредоносных кампаний в области цепочек поставок ПО, нацеленных на организации разработчиков и конечных пользователей.
- Источник новости
- www.securitylab.ru
