Се компромитираат Red Hat npm пакети за кражба на акредитиви на програмери

Повеќе од 30 npm пакети под просторот за имиња „@redhat-cloud-services“ на Red Hat биле компромитирани во напад врз синџирот на снабдување (supply-chain attack), при што била дистрибуирана нова варијанта на малициозниот софтвер за кражба на акредитиви Shai-Hulud, наречена Miasma.

Инцидентот бил откриен од безбедносните компании Aikido Security и OX Security, кои пронашле десетици верзии на пакети со вградена задна врата (backdoor). Овие пакети содржеле малициозен код дизајниран за кражба на акредитиви на програмери, тајни податоци од облачни платформи, SSH клучеви, CI/CD токени и други чувствителни информации.

Според Aikido, компромитираните пакети се преземаат околу 117.000 пати неделно.

Во изјава споделена со BleepingComputer, Red Hat соопшти дека ги отстранила засегнатите пакети веднаш штом дознала за инцидентот и дека компромитацијата била ограничена на интерните алатки за развој.

„Red Hat е запознаен со безбедносните извештаи поврзани со одредени npm пакети во нашиот екосистем за развојни алатки. Веднаш започнавме истрага и ги отстранивме пакетите од npm регистарот“, изјавија од компанијата за BleepingComputer.

„Пакетите се користат исклучиво за внатрешен развој и злонамерниот код никогаш не бил објавен за користење од клиентите преку системот console.redhat.com. Иако истрагата сè уште трае, досега не сме идентификувале влијание врз околините на клиентите, партнерите или продукциските системи на Red Hat.“

Компанијата соопшти дека продолжува со истрагата, но не одговорила на прашањата за тоа како била компромитирана сметката.

Red Hat пакети компромитирани преку пробив на GitHub сметка

Според Aikido, напаѓачите наводно ја компромитирале GitHub сметката на вработен во Red Hat и ја искористиле за директно внесување злонамерни измени (commits) во повеќе репозиториуми.

Овие измени додале GitHub Actions работен процес (workflow) и скрипта која го злоупотребувала механизмот за објавување на npm пакети со цел да објави компромитирани верзии на пакетите.

„Кога работниот процес ќе се изврши, тој го инсталира Bun и ја извршува датотеката _index.js, притоа проследувајќи ѝ листа на целни пакети преку променливата на околината OIDC_PACKAGES“, објаснуваат од Aikido.

„Скриптата ја користи дозволата id-token: write за да побара краткотраен OIDC токен од GitHub, а потоа го користи тој токен за директна автентикација кон доверливата платформа за објавување на npm и за објавување компромитирани верзии на сите пакети од листата.“

Овие компромитирани пакети содржеле злонамерна „preinstall“ скрипта која автоматски извршувала силно обфусцирана малициозна датотека index.js секогаш кога програмерите ги инсталирале пакетите.

"scripts": {
  "preinstall": "node index.js"
}

Според Aikido Security, злонамерниот payload во датотеката „index.js“ бил со големина од приближно 4,2 MB и бил дизајниран за кражба на:

• GitHub Actions тајни (secrets)
• AWS акредитиви
• Google Cloud акредитиви
• Azure Service Principal акредитиви
• HashiCorp Vault токени
• Kubernetes Service Account токени
• npm и PyPI токени за објавување пакети
• SSH клучеви
• Docker акредитиви
• GPG клучеви
• .env датотеки

Aikido наведува дека компромитацијата погодила 32 пакети и 96 верзии на пакети, вклучувајќи бројни клиентски библиотеки одржувани во рамките на просторот за имиња @redhat-cloud-services.

На организациите кои инсталирале која било од засегнатите верзии им се препорачува веднаш да ги заменат (rotate) сите акредитиви, тајни податоци и токени што биле користени од кодот на компромитираните уреди.

Miasma изгледа како нова варијанта на Shai-Hulud

Во изминатите неколку месеци беа забележани бројни напади врз синџирот на снабдување (supply-chain attacks) кои користеле малициозен софтвер од семејството Shai-Hulud за кражба на акредитиви и ширење кон други проекти.

Овие напади погодиле познати проекти и организации, меѓу кои:

• Bitwarden
• SAP
• Mistral AI
• TanStack
• OpenAI
• GitHub

Во мај, групата за сајбер-закани TeamPCP јавно го објави изворниот код на својата рамка за малициозен софтвер Mini Shai-Hulud, со што овој малициозен софтвер стана достапен и за други напаѓачи.

Истражувачите наведуваат дека малициозниот софтвер користен во компромитацијата на Red Hat има многу сличности со Mini Shai-Hulud, но во компромитираните GitHub репозиториуми користи коментари со низата „Miasma: The Spreading Blight“.

Поради овие карактеристики, истражувачите сметаат дека Miasma претставува нова варијанта на семејството Shai-Hulud.

Иако малициозниот софтвер наликува на Mini Shai-Hulud на групата TeamPCP, сè уште не е јасно дали кампањата е спроведена од таа група или од друг напаѓач кој го модифицирал протечениот изворен код на малициозниот софтвер.

OX Security наведува дека малициозниот софтвер ја задржува истата функционалност за кражба на акредитиви како Mini Shai-Hulud, но со додадени:

• дополнителни слоеви на обфускација (код-замаглување)
• механизми за испорака на повеќестепени payload-и
• подобрени функции за кражба на податоци и собирање на акредитиви

Според состојбата во моментот на објавување, 309 GitHub репозиториуми биле компромитирани во рамките на кампањата поврзана со Miasma.

Извори:

• Bleeping Computer – Red Hat npm packages compromised to steal developer credentials Bleeping Computer