Dois pacotes maliciosos descobertos no registro de pacotes npm foram encontrados utilizando o GitHub para armazenar chaves SSH criptografadas em Base64 roubadas de sistemas de desenvolvedores nos quais foram instalados.

Os módulos, chamados “warbeast2000” e “kodiak2k”, foram publicados no início do mês, atraindo 412 e 1.281 downloads, respectivamente, antes de serem removidos pelos mantenedores do npm.

Os downloads mais recentes ocorreram em 21 de janeiro de 2024. Enquanto o warbeast2000 tenta acessar a chave SSH privada, o kodiak2k é projetado para procurar uma chave chamada “meow”, levantando a possibilidade de que o ator de ameaças provavelmente usou um nome de espaço reservado durante os estágios iniciais do desenvolvimento.

“Este segundo script malicioso lê a chave SSH privada armazenada no arquivo id_rsa localizado no diretório /.ssh”, disse a pesquisadora de segurança Lucija Valentić sobre o warbeast2000.

“Em seguida, ele carrega a chave codificada em Base64 para um repositório GitHub controlado pelo atacante.” A campanha é apenas o exemplo mais recente de criminosos cibernéticos e atores maliciosos usando gerenciadores de pacotes de código aberto e infraestrutura relacionada para apoiar campanhas maliciosas de cadeia de suprimentos de software que visam organizações de desenvolvimento e organizações de usuários finais.