Se han descubierto dos paquetes maliciosos en el registro de paquetes npm que roban claves SSH cifradas en Base64 de sistemas de desarrolladores. Los módulos, warbeast2000 y kodiak2k, fueron descargados 412 y 1.281 veces antes de ser retirados. La compañía de seguridad ReversingLabs confirmó la existencia de ocho versiones distintas de warbeast2000 y más de 30 de kodiak2k.
Estos módulos ejecutan un script postinstalación diseñado para encontrar y ejecutar dos archivos JavaScript diferentes. Warbeast2000 busca acceder a la clave SSH privada, mientras que kodiak2k busca una clave llamada «meow». Este segundo módulo lee la clave SSH privada del archivo id_rsa, la codifica en Base64 y la almacena en un repositorio de GitHub controlado por los atacantes.
Versiones posteriores de kodiak2k están diseñadas para ejecutar un script que se encuentra en el marco de post-explotación Empire, alojado en GitHub. Dicho script puede utilizar la herramienta de hacking Mimikatz para volcar credenciales de la memoria del proceso.
Esto es solo otro ejemplo de cómo los ciberdelincuentes utilizan gestores de paquetes de código abierto y la infraestructura relacionada para apoyar campañas maliciosas de la cadena de suministro de software que atacan a organizaciones de desarrollo y de usuarios finales. Lucija Valentić, investigadora de seguridad, así lo explicó al informar sobre el caso.
