GitGot
A ReversingLabs kutatói két gyanús npm-csomagot találtak, amelyek bemutatják, hogy a GitHubot egyre gyakrabban használják rosszindulatú programok újszerű telepítésére. A warbeast2000 és kodiak2k nevű modulok a hónap elején jelentek meg, és 412, illetve 1281 letöltést vonzottak, mielőtt az npm karbantartói levették őket. A legutóbbi letöltések 2024. január 21-én történtek.
A felfedezést végző ReversingLabs szoftverellátási lánc-biztonsági cég szerint a warbeast2000-nek nyolc különböző verziója, a kodiak2knak pedig több mint 30 verziója volt. Mindkét modult úgy tervezték, hogy a telepítés után egy posztinstallációs szkriptet futtasson, mindegyik képes egy másik JavaScript-fájl lehívására és futtatására.
A rosszindulatú szereplők SSH-kulcsokat akarnak megszerezni a fejlesztőktől. Az SSH-kulcsok lehetővé teszik a kulcsok birtokosai számára, hogy hozzáférjenek a GitHub tárolókhoz, és hozzájáruljanak azokhoz, köztük a védett (nem nyilvános) kódot tartalmazó tárolókat is. Amint azt a SolarWinds és a 3CX elleni támadások is mutatják, ez a szintű hozzáférés komoly és negatív hatással lehet a szoftvergyártó, valamint az érintett szoftvert telepítő és használó végfelhasználó szervezetek biztonságára: ez pusztító szoftverellátási lánctámadásokhoz vezethet.
Ezek a legújabb npm-kampányok megmutatják, hogy a rosszindulatú szereplők hogyan kezdik újszerű módon használni a GitHub platformot. A C2-infrastruktúraként használt GitHub Gists és commit üzenetek mellett most már látjuk, hogy a GitHub az ellopott információk tárolására szolgáló hely.