Home Sociedad Paquetes npm maliciosos, utilizados para apuntar a claves SSH de desarrolladores de...

Paquetes npm maliciosos, utilizados para apuntar a claves SSH de desarrolladores de GitHub

Investigadores de seguridad han descubierto dos nuevos paquetes maliciosos en el administrador de paquetes de código abierto npm que utilizaba GitHub para almacenar claves SSH cifradas en Base64 robadas extraídas de los sistemas de los desarrolladores.

Desde entonces, estos paquetes, identificados a principios de este mes, se eliminaron de npm. Según un informe de ReversingLabs publicado hoy, este descubrimiento pone de relieve una tendencia actual de los ciberdelincuentes a explotar los administradores de paquetes de código abierto para campañas de la cadena de suministro de software malicioso.

De manera más general, la compañía sugirió un aumento del 1300% en los paquetes maliciosos encontrados en administradores de paquetes de código abierto entre 2020 y finales de 2023. Estos paquetes maliciosos van desde protestware de baja amenaza hasta campañas más sofisticadas que entregan malware directamente desde paquetes de código abierto.

El primer paquete, llamado warbeast2000, aún está en desarrollo, pero mostró un comportamiento malicioso en su última versión. Tras la instalación, lanzó un script posterior a la instalación que buscaba y ejecutaba un archivo JavaScript. Este script lee la clave SSH privada del archivo id_rsa en el directorio /.ssh y carga la clave codificada en Base64 en un repositorio de GitHub controlado por el atacante.

El segundo paquete, kodiak2k, tenía un modus operandi similar, con funcionalidades adicionales en todas sus versiones, incluida la invocación de la herramienta de piratería Mimikatz y la ejecución de varios scripts.

ReversingLabs advirtió que un aspecto alarmante de estos ataques es que se dirigen a claves SSH, proporcionando acceso no autorizado a repositorios de GitHub y potencialmente comprometiendo el código propietario.

Afortunadamente, el impacto de esta campaña fue limitado: warbeast2000 se descargó unas 400 veces y kodiak2k unas 950 veces.

Sin embargo, ReversingLabs expresó su preocupación por la creciente dependencia de los actores maliciosos del software de código abierto y la infraestructura de desarrollo, como GitHub, para alojar componentes de la infraestructura maliciosa de comando y control (C2).

Para hacer frente a estas amenazas, la empresa recomienda que los desarrolladores realicen una evaluación de seguridad antes de incorporar software o una biblioteca de administradores de paquetes como npm o PyPI.