安全研究人员在npm开源包管理器上发现了两个新的恶意包,它们利用GitHub存储从开发人员系统中窃取的Base64加密SSH密钥。
本月早些时候发现的这些包已经从npm中删除了。根据ReversingLabs发布的报告,这一发现凸显了网络犯罪分子利用开源包管理器进行恶意软件供应链活动的持续趋势。
更普遍的是,该公司表示,从2020年到2023年底,在开源软件包管理器上发现的恶意软件包将增加1300%。这些恶意软件包的范围从低威胁的抗议软件到更复杂的活动,直接从开源软件包传递恶意软件。
第一个软件包,名为warbeast2000,仍在开发中,但在其最新版本中表现出恶意行为。安装完成后,它启动一个安装后脚本,获取并执行一个JavaScript文件。该脚本从目录id_rsa文件中读取SSH私钥。将Base64编码的密钥上传到攻击者控制的GitHub存储库。
第二个包kodiak2k具有类似的操作方式,在其版本中具有额外的功能,包括调用Mimikatz黑客工具和执行各种脚本。
ReversingLabs警告说:“这些攻击的一个令人担忧的方面是它们针对SSH密钥,提供对GitHub存储库的未经授权访问,并可能危及专有代码。”
幸运的是,这次活动的影响是有限的,warbeast2000的下载量约为400次,kodiak2k的下载量约为950次。
然而,ReversingLabs对恶意行为者越来越依赖开源软件和开发基础设施(如GitHub)来托管恶意命令和控制(C2)基础设施的组件表示担忧。
随着越来越多的开源恶意软件可用,GitHub越来越多地被恶意行为者用来支持他们的活动。通常,这些开源恶意软件包功能丰富,并附带非常详细的文档,即使是低技能的黑客(脚本小子)也可以部署它们。
随着恶意行为者不断开发编写恶意软件的新技术,开发人员和安全研究人员需要警惕潜伏在公共存储库中的新威胁。
为了解决这些威胁,该公司建议开发人员在整合软件包管理器(如npm或PyPI)的软件或库之前进行安全评估。