warbeast2000 和 kodiak2k：通过 GitHub 分发的恶意脚本

攻击者想出了一种通过 GitHub 分发脚本的巧妙方法

ReversingLabs 在流行的NPM包注册表中发现了两个恶意模块，这些模块使用GitHub来存储先前从开发人员系统中窃取的 Base64加密的SSH密钥。

这些名为 warbeast2000 和 kodiak2k 的模块 于 1 月初发布，分别获得了 412 次 和 1,281 次下载，然后被 npm 工作人员删除。最后一次下载发生在 1 月 21 日。ReversingLabs 报告称，已发现 8 个不同版本的 warbeast2000 和 30 多个版本的 kodiak2k。这两个模块都设计为在安装时运行脚本，每个模块都能够提取和执行各种JavaScript文件。

warbeast2000模块尝试访问私有SSH密钥，而kodiak2k旨在寻找名为“meow”的密钥，这表明开发人员在开发早期可能使用占位符名称。

恶意脚本的第二阶段从位于“<homedir>/.ssh”目录中的 id_rsa 文件读取 SSH 私钥。然后，他将 Base64 编码的密钥上传到攻击者控制的 GitHub 存储库。kodiak2k 的后续版本执行来自托管 Empire后开发框架的存档 GitHub 项目的脚本 。它能够运行Mimikatz，从进程内存中检索凭证。

此次发现的活动是网络犯罪分子如何使用开源包管理器和相关基础设施来支持针对开发人员和最终用户组织的恶意软件供应链活动的最新示例。