Hai package độc hại trên hệ thống quản lý package NPM được phát hiện đã lợi dụng GitHub để lưu trữ các khóa SSH được mã hóa Base64 bị đánh cắp từ hệ thống của các nhà phát triển.
Các mô-đun có tên warbeast2000 và kodiak2k đã được phát hành vào đầu tháng, đã có 412 và 1.281 lượt tải xuống trước khi chúng bị các nhà bảo trì NPM gỡ bỏ. Lần tải xuống gần đây nhất diễn ra vào ngày 21 tháng 1 năm 2024.
Công ty bảo mật chuỗi cung ứng phần mềm ReversingLabs, đơn vị đã phát hiện sự việc, cho biết có 8 phiên bản khác nhau của warbeast2000 và hơn 30 phiên bản kodiak2k.
Cả hai mô-đun đều được thiết kế để chạy một tập lệnh sau khi được cài đặt, mỗi mô-đun có khả năng tải về và thực thi một tệp JavaScript khác nhau.
Nhà nghiên cứu bảo mật Lucija Valentić cho biết: “Tập lệnh độc hại giai đoạn thứ hai này tìm kiếm khóa SSH bí mật được lưu trữ trong tệp id_rsa nằm trong thư mục /.ssh”. “Sau đó, tải khóa đã được mã hóa Base64 lên kho lưu trữ GitHub do kẻ tấn công kiểm soát.”
Các phiên bản tiếp theo của kodiak2k có khả năng thực thi một tập lệnh trong một kho lưu trữ GitHub, nơi lưu một framework hậu khai thác Empire. Tập lệnh có khả năng khởi chạy công cụ hack Mimikatz để trích xuất thông tin xác thực khỏi bộ nhớ tiến trình.
Valentić cho biết: “Chiến dịch này là ví dụ mới nhất về việc tội phạm mạng và tác nhân độc hại lạm dụng hệ thống quản lý package nguồn mở và cơ sở hạ tầng liên quan để hỗ trợ các chiến dịch tấn công chuỗi cung ứng phần mềm độc hại nhắm vào các tổ chức phát triển và người dùng cuối”.
Người dùng đã tải về các package độc hại nên loại bỏ chúng ngay khỏi các hệ thống, ứng dụng của bạn, đồng thời thay đổi các khóa SSH hiện tại ngay để giảm thiểu các rủi ro liên quan. Ngoài ra, bạn cũng nên kiểm tra toàn bộ hệ thống, thiết bị để tìm kiếm các dấu hiệu vi phạm và đưa ra các biện pháp khắc phục thích hợp.
Nguồn: thehackernews.com.
Tín nhiệm mạng | Thứ Hai vừa qua, Ủy ban Chứng khoán và giao dịch của Mỹ đã xác nhận rằng tài khoản X của họ đã bị hack thông qua một cuộc tấn công hoán đổi SIM vào số điện thoại di động được liên kết với tài khoản.
Tín nhiệm mạng | Hôm qua, Apple đã phát hành bản cập nhật bảo mật cho trình duyệt web iOS, iPadOS, macOS, tvOS và Safari để giải quyết lỗ hổng zero-day đang bị khai thác trong thực tế.
Tín nhiệm mạng | Các nhà nghiên cứu bảo mật đã phát hiện các hoạt động khai thác lỗ hổng thực thi mã từ xa CVE-2023-22527 ảnh hưởng đến các phiên bản lỗi thời của máy chủ Atlassian Confluence.
Tín nhiệm mạng | Các ứng dụng vi phạm bản quyền nhắm vào người dùng macOS được phát hiện có chứa một backdoor có khả năng cung cấp cho kẻ tấn công quyền điều khiển từ xa trên các máy bị nhiễm.
Tín nhiệm mạng | Các tác nhân đe dọa đang sử dụng TeamViewer để giành quyền truy cập ban đầu vào các thiết bị và cố gắng mã hóa dữ liệu trên các thiết bị bị xâm phạm bằng phần mềm ransomware.
Tín nhiệm mạng | Data Center Atlassian và Máy chủ Confluence dễ bị tấn công bởi lỗ hổng thực thi mã từ xa nghiêm trọng, ảnh hưởng đến các phiên bản được phát hành trước ngày 5 tháng 12 năm 2023
Chúng tôi sẽ sớm liên hệ với bạn để xác thực các thông tin & hoàn tất quá trình kiểm duyệt để cấp chứng nhận.
Cảm ơn bạn đã thực hiện đánh giá.
