Киберпреступники используют GitHub для хранения украденных данных: обнаружены вредоносные пакеты npm

Первый из них, warbeast2000, был загружен около 400 раз и на момент обнаружения находился в стадии разработки. Однако это не помешало ему содержать вредоносный функционал. Пакет включал пост-установочный скрипт, который активировал выполнение JavaScript-файла. На следующем этапе скрипт искал приватный SSH-ключ, обычно хранящийся в файле id_rsa в директории /.ssh. После обнаружения ключа он кодировал его в Base64 и отправлял на удаленный репозиторий GitHub, контролируемый злоумышленниками.

Второй пакет, kodiak2k, оказался еще более изощренным. Он насчитывал более 30 версий, причем почти все, за исключением нескольких ранних, содержали вредоносный код. В отличие от warbeast2000, этот пакет использовал более сложный механизм атаки. Он загружал скрипт из заархивированного проекта на GitHub, в котором содержался фреймворк Empire - популярный инструмент для постэксплуатации. Кроме того, вредоносный код запускал Mimikatz - утилиту, широко применяемую киберпреступниками для извлечения учетных данных из оперативной памяти компьютера.

Подобные атаки вызывают серьезные опасения у экспертов по кибербезопасности. Использование легитимных платформ, таких как GitHub, для хранения украденных данных затрудняет их обнаружение. Злоумышленники маскируют вредоносную активность под обычные операции разработчиков, что позволяет им дольше оставаться незамеченными. GitHub, как одна из крупнейших платформ для хостинга кода, привлекает киберпреступников своей доступностью и гибкостью.

Реакция npm на обнаруженные угрозы была оперативной: оба пакета были удалены из репозитория. Однако это не отменяет факта, что сотни разработчиков уже могли стать жертвами атаки. Эксперты рекомендуют внимательно проверять устанавливаемые пакеты, особенно если они содержат пост-установочные скрипты или подозрительные зависимости.

Данный инцидент подчеркивает растущую сложность киберугроз в экосистеме open-source. Разработчики все чаще сталкиваются с проблемой "зараженных" пакетов, которые могут поставить под угрозу не только их собственные проекты, но и инфраструктуру компаний. В последние годы подобные атаки стали более изощренными: злоумышленники маскируют вредоносный код под легитимные обновления или используют методы социальной инженерии для внедрения вредоносных компонентов.

Для защиты от подобных угроз специалисты рекомендуют внедрять многоуровневые системы безопасности. Это включает в себя регулярное сканирование зависимостей на предмет уязвимостей, использование инструментов статического анализа кода, а также ограничение прав доступа к критически важным данным. Кроме того, команды разработчиков должны внедрять практики "безопасного кодирования" и обучать сотрудников распознаванию потенциальных угроз.

GitHub, в свою очередь, также предпринимает меры для борьбы с подобными злоупотреблениями. Платформа внедряет механизмы автоматического сканирования репозиториев на предмет вредоносного кода, а также усиливает мониторинг подозрительной активности. Однако, учитывая масштабы платформы, полное исключение подобных случаев остается сложной задачей.

Этот инцидент является очередным напоминанием о том, что киберпреступники постоянно совершенствуют свои методы, а безопасность открытого ПО требует повышенного внимания со стороны как отдельных разработчиков, так и крупных организаций. В условиях, когда атаки на цепочки поставок ПО становятся все более распространенными, необходимо принимать упреждающие меры защиты, чтобы минимизировать риски утечки конфиденциальных данных.

SHA1

• 13c0ff1347fe631974797aba94d17180ccc8eded
• 1d5da7f3fbea3d3915bddeb4c223ba147667a6ba
• 245f07892c85807e99a3d9da49677bbd6013ff4f
• 24e376fbbb4c76b6b3c2572efeaa68053fa35202
• 2da32a4c9e2c3f345f46c6e06d6eb41e13da13d9
• 30fb4cb07089d4e5773e1f20f0a0b25c34aa20ea
• 3198a29d70628d1b9feaf8f7215c667383007f48
• 31abb6e4399138b33545ab5dfa3e12fe1ad4d16e
• 401b2fcd9359215f2f70f39d7d0aa1d50ab09b43
• 445922433303e38e227121046d38dd3f31a1d6e0
• 5117a318483b62cd40298358618e57350cc4158a
• 5500ca40b5537f5b6782a143e8e2e9028b92de2d
• 55f6b8f098ce173f4bfba374fc6da3cd8e0ff435
• 562238aff7746bdc60f891670c0c8bff46cebe02
• 663d74c7b76e5aae72ed45b3680fa3efbd17586d
• 6f819af455a3b25edc1f27c938cbaaffdbf3d910
• 7165b6329ae524392812c534f9bb7e225e305ffe
• 717fa522c6ee505002bf17d3e79385544834461e
• 7333b0ec183d34a104fd7b9a5f5b93541d39fed3
• 79c4359c0c21c4a6c43062a6e9e894ca0bd5617a
• 8f1311588eae8e2fb4eff6dad523198d49d4a766
• 8f1d36b074f2f6b7bc28718f88849a6aeb9dbbc6
• 909927bd61f3466d777bbbff38fd844ed8f5c134
• 9300a1ff6bc49aa3f0bfe46245a470f14fc7fac3
• 94836b8471a22563c91d35df6f3a1f5b8e028aa7
• 9526b820a21fa70641361e061b0f99517ab1b184
• 96b336c4fddbd1d91a9d1eacb4c36441880ac5bf
• 9ccc6f5756bb99c5a4eea9e6abc84b79cb3ae6bd
• ad888d4e2b05bee35acf61c3cc053ecdc5e6ffaf
• ba5c8b0b76b798dea60110a296ba842702aacfa5
• c1be7a6bd11236d1302fc6c0b206ec70b3b66d25
• c6693fa7d0272562dd56ce8b44c0e99dd1210e43
• c6c77b4385978ab9cc1cab0826e75227d612b62a
• d0c75071fc20f03d1b6d35ce7240b03c2a79f5c7
• d4a94f63a25891377334909cd544656b16c2b198
• d80e1abd7efcd1304a3b5ce1f6302d3a7edaaad9
• d94e7e9f1965c248e17a6629c68f55ffa810e5d5
• dba623bdad6bdb37359e047efcda34de4af5f518
• e70476edc973548abba035993638c1bf3b829d54
• e762e1456a89218661f97e3ae356c07d35c298e8
• ed6e04e810ff085a1a208788e47cce9352ab58bf
• f1317027456e02fa5c6cadaf897244fc28c24e31
• f6fda33768f859bc0b42bae40ac0c7dafa0f8d93
• fa562e9f3374055812c463b8e36c113a2aafa61c