NPM 恶意包通过 GitHub 提取数百个开发者SSH密钥

这些模块名为 “warbeast2000” 和 “kodiak2k”，在本月初发布，在被 npm 维护人员下架前分别吸引了412次和1281次下载。最近的一次下载发生在2024年1月21日。

ReversingLabs 表示，warbeast2000 的版本共有8个，而 kodiak2k 的版本超过30个。这两个模块均旨在安装后运行多个安装后脚本，它们均能检索并执行不同的 JavaScript 文件。

warbeast2000 试图访问 SSH 密钥，而kodiak2k 旨在寻找名为 “meow” 的密钥，这表明攻击者可能在开发的早期阶段使用了占位符名称。安全研究员 Lucija Valentić 指出，“第二个阶段的恶意脚本读取 <homedir>/.ssh 目录中 id_rsa 文件中存储的 SSH 私钥。之后将 Base64编码的密钥上传到受攻击和控制的 GitHub 仓库。“

kodiak2k 的后续版本执行在托管着 Empire 利用后框架的GitHub 项目中的脚本。该脚本能够启动 Mimikatz 黑客工具从进程内存中转储凭据。Valentić指出，“该攻击活动再次表明网络犯罪分子和恶意人员使用开源包管理器和相关基础设施支持针对开发组织机构和终端用户组织机构发起恶意软件供应链活动。”