ReversingLabsは1月23日(米国時間)、「GitGot: GitHub leveraged by cybercriminals to store stolen data」において、JavaScriptのパッケージ管理システム「npm」から悪意のある2つのパッケージを発見したとして、注意を喚起した。これらパッケージが悪用されると、開発者のSSH秘密鍵が窃取されるリスクがある。
不正なnpmパッケージの概要
ReversingLabsによると、発見されたnpmパッケージは「warbeast2000」と「kodiak2k」の2つ。warbeast2000は約400回弱、kodiak2kは約950回ダウンロードされ、報告を受けた後に削除されている。
warbeast2000は2024年1月3日にReversingLabsの研究者により発見された。ユーザーがパッケージをインストールすると、ポストインストールスクリプトにより悪意のあるJavaScriptがダウンロードされて実行される。JavaScriptはユーザーのホームディレクトリの「.ssh」ディレクトリから「id_rsa」を窃取して攻撃者が管理するGitHubリポジトリへ送信する。.sshディレクトリの他のファイルにはアクセスしないことから、これは開発段階にあったのではないかと推測されている。
kodiak2kもwarbeast2000と同様に2024年1月5日、ReversingLabsの研究者によりソフトウェアサプライチェーンセキュリティプラットフォームを使用して発見された。初期動作もwarbeast2000と同様で、kodiak2kをインストールするとポストインストールスクリプトにより悪意のあるJavaScriptがダウンロード、実行される。このJavaScriptはユーザーのホームディレクトリの「.ssh」ディレクトリから「meow」というファイル名の秘密鍵を窃取してGitHubリポジトリへ送信する。なぜ「meow」だけを標的にしているのかはわかっていない。
kodiak2kは追加の処理として「Mimikatz」を使用して資格情報を窃取する。また、notepad.exe、shutdown.exe、cryptor.exeを実行する処理も確認されているが、これら処理の目的もわかっていない。ReversingLabsは、悪意のある処理を統合するためにさまざまな機能をテストしていたのではないかと推測している。
GitHubの悪用
ReversingLabsはGitHubの悪用が急速に広まっているとして注意を呼びかけている。GitHubはさまざまなマルウェアからコマンド&コントロール(C2: Command and Control)のインフラストラクチャとして悪用されているが、今回発見したマルウェアのように窃取した情報の保存場所として利用するケースも確認されている。
サイバー犯罪者は新しい技術を開発して進化を続けている。このような新しい脅威に対抗するため、セキュリティ研究者や専門家にはパプリックリポジトリに潜む脅威への対応が望まれている。また、ソフトウェア開発者にはnpmやPyPIなどのパッケージマネージャから配布されているパッケージのインストール前に、コードの解析やパッケージの作成者が信用できるかどうかを検証・評価することが推奨されている。