恐怖如斯!发现有攻击者使用 NPM 包从本机窃取 SSH 密钥!

安全 应用安全
这种事件并非 NPM 独有,Python 的包管理 PyPI 也曾受到恶意包的困扰,参考 https://www.scmagazine.com/brief/info-crypto-stealing-python-packages-proliferate。

软件威胁研究人员上月初(2024 年 1 月)发现有恶意 NPM 软件包,会窃取电脑的 SSH 密钥并上传至 Github

幸运的是 Github 在 1 月初发现后在没有被大面积扩散之前已从 NPM 注册表中删除了两个软件包:warbeast2000  kodiak2k

详细了解下它们做了什么?

warbeast2000

以下代码不是很复杂,一旦将其包安装到自己的电脑上后,会做以下几件事:

  • 启动一个安装后的脚本
  • 读取 home 目录下的 /.ssh/id_rsa 文件(代码 L10 行定义的路径 filePath,代码 L13 行使用 Node.js API 从本地文件系统获取私钥信息)
  • 对获取到的密钥 base64 编码并上传至攻击者的 Github 仓库

图片

这段代码看完,真是恐怖如斯!id_rsa  ssh-keygen 生成的 SSH 密钥默认文件,在 Windows、MacOS、Linux、Unix 系统上是一个标准文件名了,开发者通常使用它访问自己的私有仓库,例如 Github、Gitlab 等。

要注意的是,除了 id_rsa 是默认的文件名,.ssh 这个文件夹也是可以访问的,意味这该文件夹下的内容也是可以被全部窃取的。很显然,“这个攻击者的软件包很可能还处于开发中...”

好在,该软件包已于 1 月 3 日左右被报告给了 NPM 管理员,并且已被删除

kodiak2k

warbeast2000 被发现后的不久,1 月 5 日又发现一个类似的软件包 kodiak2k,与上面代码类似都会获取本机 ssh 密钥,不同的是该软件似乎在攻击一个具体的名为 meow 的用户。

图片

上次刚发现有人将 武林外传 上传至 NPM 仓库,当免费网盘使用,这次竟有人恶意利用 NPM、Github 窃取用户的 SSH 密钥,幸运的是这次发现的早,影响范围有限。warbeast2000 软件包的下载量略低于 400 次,而 kodiak2k 的下载量约为 950 次。

从侧面也反映出 NPM、Github 被滥用的行为正在扩大,不知不觉中也会影响到我们每个人。本次事件也应引起我们大家的注意,开发人员和开发组织在选择一些 NPM 包时也需要进行安全评估。

这种事件并非 NPM 独有,Python 的包管理 PyPI 也曾受到恶意包的困扰,参考 https://www.scmagazine.com/brief/info-crypto-stealing-python-packages-proliferate。

本文参考 https://www.reversinglabs.com/blog/gitgot-cybercriminals-using-github-to-store-stolen-data。

责任编辑:武晓燕 来源: 编程界
相关推荐

2021-10-20 11:33:29

Telegram BoPayPal间谍软件

2022-08-19 15:40:08

密码证书安全

2022-07-13 10:04:07

网络攻击漏洞

2012-03-13 15:30:28

2022-05-05 16:24:21

APT网络攻击后门

2021-03-15 13:56:00

DDoS攻击加密货币

2022-05-15 15:15:57

恶意软件WhatsApp网络攻击

2022-06-01 11:52:57

GitHub漏洞

2015-01-22 09:18:30

2021-12-08 11:49:43

KMSPico加密货币Red Canary

2022-10-18 10:46:10

数字弹性首席执行官

2021-12-01 11:25:15

MSHTML微软漏洞

2022-01-24 07:35:39

XLL网络攻击恶意软件

2024-02-19 08:01:59

服务微服务授权

2014-08-20 09:44:57

2024-12-16 15:54:08

2009-05-04 11:42:19

2012-04-29 11:02:05

2009-05-05 08:45:22

点赞
收藏

51CTO技术栈公众号