文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

恐怖如斯!发现有攻击者使用 NPM 包从本机窃取 SSH 密钥!

2024-11-30 01:46

关注

幸运的是 Github 在 1 月初发现后在没有被大面积扩散之前已从 NPM 注册表中删除了两个软件包:warbeast2000  kodiak2k

详细了解下它们做了什么?

warbeast2000

以下代码不是很复杂,一旦将其包安装到自己的电脑上后,会做以下几件事:

这段代码看完,真是恐怖如斯!id_rsa  ssh-keygen 生成的 SSH 密钥默认文件,在 Windows、MacOS、Linux、Unix 系统上是一个标准文件名了,开发者通常使用它访问自己的私有仓库,例如 Github、Gitlab 等。

要注意的是,除了 id_rsa 是默认的文件名,.ssh 这个文件夹也是可以访问的,意味这该文件夹下的内容也是可以被全部窃取的。很显然,“这个攻击者的软件包很可能还处于开发中...”

好在,该软件包已于 1 月 3 日左右被报告给了 NPM 管理员,并且已被删除

kodiak2k

warbeast2000 被发现后的不久,1 月 5 日又发现一个类似的软件包 kodiak2k,与上面代码类似都会获取本机 ssh 密钥,不同的是该软件似乎在攻击一个具体的名为 meow 的用户。

上次刚发现有人将 武林外传 上传至 NPM 仓库,当免费网盘使用,这次竟有人恶意利用 NPM、Github 窃取用户的 SSH 密钥,幸运的是这次发现的早,影响范围有限。warbeast2000 软件包的下载量略低于 400 次,而 kodiak2k 的下载量约为 950 次。

从侧面也反映出 NPM、Github 被滥用的行为正在扩大,不知不觉中也会影响到我们每个人。本次事件也应引起我们大家的注意,开发人员和开发组织在选择一些 NPM 包时也需要进行安全评估。

这种事件并非 NPM 独有,Python 的包管理 PyPI 也曾受到恶意包的困扰,参考 https://www.scmagazine.com/brief/info-crypto-stealing-python-packages-proliferate。

本文参考 https://www.reversinglabs.com/blog/gitgot-cybercriminals-using-github-to-store-stolen-data。

来源:编程界内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯