网络安全警报：热门 NPM 软件包中嵌入 SSH 密钥盗窃

　　ReversingLabs 在广泛使用的 NPM 包注册表中发现了两个恶意模块，它们利用 GitHub 存储以前从开发人员系统中窃取的以 Base64 加密的 SSH 密钥。

　　这两个名为 warbeast2000 和 kodiak2k 的模块于 1 月初发布，分别累积了 412 次和 1281 次下载，然后被 npm 工作人员删除。最后一次下载发生在 1 月 21 日。ReversingLabs 发现了 8 个不同版本的 warbeast2000 和 30 多个版本的 kodiak2k。这两个模块都设计为在安装时执行脚本，每个模块都能够提取和执行各种 JavaScript 文件。

　　warbeast2000 模块尝试访问私钥 SSH 密钥，而 kodiak2k 旨在搜索名为“meow”的密钥，这表明开发人员在早期开发阶段使用占位符名称。

　　恶意脚本的第二阶段从位于“/.ssh”目录中的id_rsa文件中读取 SSH 私钥。然后，它将 Base64 编码的密钥上传到攻击者控制的 GitHub 存储库。kodiak2k 的后续版本从包含 Empire 开发后框架的存档 GitHub 项目中执行了一个脚本。它能够启动 Mimikatz，后者从进程内存中提取凭据。

　　这个被发现的活动是网络犯罪分子如何利用开源包管理器和相关基础设施来支持针对开发人员组织和最终用户的恶意供应链活动的另一个例子。