🔥 UBND phường Đồng Hòa, quận Kiến An, thành phố Hải Phòng đã đăng ký tín nhiệm. 🔥                    🔥 UBND phường Nam Sơn, quận Kiến An, thành phố Hải Phòng đã đăng ký tín nhiệm. 🔥                    🔥 UBND phường Phù Liễn, quận Kiến An, thành phố Hải Phòng đã đăng ký tín nhiệm. 🔥                    🔥 UBND phường Trần Thành Ngọ, quận Kiến An, thành phố Hải Phòng đã đăng ký tín nhiệm. 🔥                    🔥 UBND phường Văn Đẩu, quận Kiến An, thành phố Hải Phòng đã đăng ký tín nhiệm. 🔥                   

Phát hiện các package NPM độc hại đánh cắp hàng trăm khóa SSH của nhà phát triển thông qua GitHub

24/01/2024

Hai package độc hại trên hệ thống quản lý package NPM được phát hiện đã lợi dụng GitHub để lưu trữ các khóa SSH được mã hóa Base64 bị đánh cắp từ hệ thống của các nhà phát triển.

Các mô-đun có tên warbeast2000 và kodiak2k đã được phát hành vào đầu tháng, đã có 412 và 1.281 lượt tải xuống trước khi chúng bị các nhà bảo trì NPM gỡ bỏ. Lần tải xuống gần đây nhất diễn ra vào ngày 21 tháng 1 năm 2024.

Công ty bảo mật chuỗi cung ứng phần mềm ReversingLabs, đơn vị đã phát hiện sự việc, cho biết có 8 phiên bản khác nhau của warbeast2000 và hơn 30 phiên bản kodiak2k.

Cả hai mô-đun đều được thiết kế để chạy một tập lệnh sau khi được cài đặt, mỗi mô-đun có khả năng tải về và thực thi một tệp JavaScript khác nhau.

Nhà nghiên cứu bảo mật Lucija Valentić cho biết: “Tập lệnh độc hại giai đoạn thứ hai này tìm kiếm khóa SSH bí mật được lưu trữ trong tệp id_rsa nằm trong thư mục /.ssh”. “Sau đó, tải khóa đã được mã hóa Base64 lên kho lưu trữ GitHub do kẻ tấn công kiểm soát.”

Các phiên bản tiếp theo của kodiak2k có khả năng thực thi một tập lệnh trong một kho lưu trữ GitHub, nơi lưu một framework hậu khai thác Empire. Tập lệnh có khả năng khởi chạy công cụ hack Mimikatz để trích xuất thông tin xác thực khỏi bộ nhớ tiến trình.

Valentić cho biết: “Chiến dịch này là ví dụ mới nhất về việc tội phạm mạng và tác nhân độc hại lạm dụng hệ thống quản lý package nguồn mở và cơ sở hạ tầng liên quan để hỗ trợ các chiến dịch tấn công chuỗi cung ứng phần mềm độc hại nhắm vào các tổ chức phát triển và người dùng cuối”.

Người dùng đã tải về các package độc hại nên loại bỏ chúng ngay khỏi các hệ thống, ứng dụng của bạn, đồng thời thay đổi các khóa SSH hiện tại ngay để giảm thiểu các rủi ro liên quan. Ngoài ra, bạn cũng nên kiểm tra toàn bộ hệ thống, thiết bị để tìm kiếm các dấu hiệu vi phạm và đưa ra các biện pháp khắc phục thích hợp.

Nguồn: thehackernews.com.

scrolltop