GitHub используется киберпреступниками для хранения украденных данных

security IOC
Опубликовано

Исследователи ReversingLabs обнаружили два вредоносных пакета в менеджере пакетов npm с открытым исходным кодом, которые используют GitHub для хранения украденных зашифрованных в Base64 ключей SSH, снятых с систем разработчиков, которые установили вредоносные пакеты npm.

Содержание

Пакеты, warbeast2000 и kodiak2k, были обнаружены в январе и с тех пор удалены из npm. Пакет warbeast2000 был загружен чуть менее 400 раз, в то время как kodiak2k - около 950 раз. Злоумышленники, стоявшие за пакетами, использовали GitHub для хранения украденной информации.

Пакет warbeast2000 содержал всего несколько компонентов и на момент обнаружения находился в стадии разработки. Пакет запускал постинсталляционный скрипт, который находил и выполнял файл javascript. На втором этапе вредоносный скрипт считывал приватный ключ ssh, хранящийся в файле id_rsa, расположенном в каталоге /.ssh. Затем он загружал ключ в Base64-кодировке в контролируемый злоумышленником репозиторий GitHub. Пакет kodiak2k имел более 30 различных версий, и, за исключением нескольких первых, все они были вредоносными. Пакет также выполнял скрипт, найденный в заархивированном проекте GitHub, содержащем фреймворк для постэксплойта Empire. Скрипт также вызывает инструмент взлома Mimikatz, который обычно используется для дампа учетных данных из памяти процессов.

Indicators of Compromise

SHA1

  • 13c0ff1347fe631974797aba94d17180ccc8eded
  • 1d5da7f3fbea3d3915bddeb4c223ba147667a6ba
  • 245f07892c85807e99a3d9da49677bbd6013ff4f
  • 24e376fbbb4c76b6b3c2572efeaa68053fa35202
  • 2da32a4c9e2c3f345f46c6e06d6eb41e13da13d9
  • 30fb4cb07089d4e5773e1f20f0a0b25c34aa20ea
  • 3198a29d70628d1b9feaf8f7215c667383007f48
  • 31abb6e4399138b33545ab5dfa3e12fe1ad4d16e
  • 401b2fcd9359215f2f70f39d7d0aa1d50ab09b43
  • 445922433303e38e227121046d38dd3f31a1d6e0
  • 5117a318483b62cd40298358618e57350cc4158a
  • 5500ca40b5537f5b6782a143e8e2e9028b92de2d
  • 55f6b8f098ce173f4bfba374fc6da3cd8e0ff435
  • 562238aff7746bdc60f891670c0c8bff46cebe02
  • 663d74c7b76e5aae72ed45b3680fa3efbd17586d
  • 6f819af455a3b25edc1f27c938cbaaffdbf3d910
  • 7165b6329ae524392812c534f9bb7e225e305ffe
  • 717fa522c6ee505002bf17d3e79385544834461e
  • 7333b0ec183d34a104fd7b9a5f5b93541d39fed3
  • 79c4359c0c21c4a6c43062a6e9e894ca0bd5617a
  • 8f1311588eae8e2fb4eff6dad523198d49d4a766
  • 8f1d36b074f2f6b7bc28718f88849a6aeb9dbbc6
  • 909927bd61f3466d777bbbff38fd844ed8f5c134
  • 9300a1ff6bc49aa3f0bfe46245a470f14fc7fac3
  • 94836b8471a22563c91d35df6f3a1f5b8e028aa7
  • 9526b820a21fa70641361e061b0f99517ab1b184
  • 96b336c4fddbd1d91a9d1eacb4c36441880ac5bf
  • 9ccc6f5756bb99c5a4eea9e6abc84b79cb3ae6bd
  • ad888d4e2b05bee35acf61c3cc053ecdc5e6ffaf
  • ba5c8b0b76b798dea60110a296ba842702aacfa5
  • c1be7a6bd11236d1302fc6c0b206ec70b3b66d25
  • c6693fa7d0272562dd56ce8b44c0e99dd1210e43
  • c6c77b4385978ab9cc1cab0826e75227d612b62a
  • d0c75071fc20f03d1b6d35ce7240b03c2a79f5c7
  • d4a94f63a25891377334909cd544656b16c2b198
  • d80e1abd7efcd1304a3b5ce1f6302d3a7edaaad9
  • d94e7e9f1965c248e17a6629c68f55ffa810e5d5
  • dba623bdad6bdb37359e047efcda34de4af5f518
  • e70476edc973548abba035993638c1bf3b829d54
  • e762e1456a89218661f97e3ae356c07d35c298e8
  • ed6e04e810ff085a1a208788e47cce9352ab58bf
  • f1317027456e02fa5c6cadaf897244fc28c24e31
  • f6fda33768f859bc0b42bae40ac0c7dafa0f8d93
  • fa562e9f3374055812c463b8e36c113a2aafa61c

 

Похожие записи:
  1. Operation Brainleeches IOCs
  2. IconBurst IOCs
  3. SentinelSneak PyPI IOCs
  4. Cамозваные HTTP-библиотеки скрываются на PyPI
  5. Вредоносные пакеты NuGet используют лазейку в интеграции с MSBuild
Empire Mimikatz npm Python ReversingLabs
Добавить комментарий