warbeast2000 和 kodiak2k:通过 GitHub 分发的恶意脚本

阅读量48199

发布时间 : 2024-01-25 15:13:46

攻击者想出了一种通过 GitHub 分发脚本的巧妙方法

ReversingLabs 在流行的NPM包注册表中发现了两个恶意模块,这些模块使用GitHub来存储先前从开发人员系统中窃取的 Base64加密的SSH密钥。

这些名为 warbeast2000 和 kodiak2k 的模块 于 1 月初发布,分别获得了 412 次 和 1,281 次下载,然后被 npm 工作人员删除。最后一次下载发生在 1 月 21 日。ReversingLabs 报告称,已发现 8 个不同版本的 warbeast2000 和 30 多个版本的 kodiak2k。这两个模块都设计为在安装时运行脚本,每个模块都能够提取和执行各种JavaScript文件。

warbeast2000模块尝试访问私有SSH密钥,而kodiak2k旨在寻找名为“meow”的密钥,这表明开发人员在开发早期可能使用占位符名称。

恶意脚本的第二阶段从位于“<homedir>/.ssh”目录中的 id_rsa 文件读取 SSH 私钥。然后,他将 Base64 编码的密钥上传到攻击者控制的 GitHub 存储库。kodiak2k 的后续版本执行来自托管 Empire后开发框架的存档 GitHub 项目的脚本 。它能够运行Mimikatz,从进程内存中检索凭证。

此次发现的活动是网络犯罪分子如何使用开源包管理器和相关基础设施来支持针对开发人员和最终用户组织的恶意软件供应链活动的最新示例。

本文转载自:

如若转载,请注明出处:

安全客 - 有思想的安全新媒体

分享到:微信
+10赞
收藏
安全客
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66