Пакеты Red Hat npm скомпрометированы для кражи учетных данных разработчиков
Более 30 пакетов npm в пространстве имён @redhat-cloud-services компании Red Hat были скомпрометированы в результате атаки на цепочку поставок, в ходе которой распространился новый вариант вредоносной программы Shai-Hulud для кражи учётных данных, получивший название Miasma.
Инцидент был обнаружен компаниями по обеспечению безопасности Aikido и OX Security, которые выявили десятки версий пакетов с вредоносным ПО, предназначенным для кражи учетных данных разработчиков, облачных секретов, SSH-ключей, токенов CI/CD и другой конфиденциальной информации.
По данным Aikido, скомпрометированные пакеты скачивают примерно 117 000 раз в неделю.
В заявлении, опубликованном на сайте BleepingComputer, компания Red Hat сообщила, что удалила уязвимые пакеты после того, как стало известно об инциденте, и что компрометация затронула только внутренние инструменты разработки.
«Red Hat известно об отчетах о проблемах с безопасностью, связанных с некоторыми пакетами npm в нашей экосистеме инструментов для разработки. Мы немедленно начали расследование и удалили пакеты из реестра npm», — сообщили в Red Hat изданию BleepingComputer.
«Пакеты предназначены исключительно для внутренней разработки, и вредоносный код никогда не публиковался для клиентов через систему console.redhat.com. Наше расследование продолжается, но мы не выявили каких-либо последствий для клиентов, партнеров или производственных систем Red Hat».
Компания заявила, что продолжает расследование инцидента, но не ответила на наши вопросы о том, как была взломана учетная запись.
Пакеты Red Hat с бэкдором из-за взлома GitHub
По данным Aikido, злоумышленники взломали учетную запись сотрудника Red Hat на GitHub и использовали ее для отправки вредоносных коммитов непосредственно в несколько репозиториев.
В этих коммитах был добавлен рабочий процесс GitHub Actions и скрипт, который использовал уязвимость механизма публикации npm для выпуска пакетов с бэкдором.
«При запуске рабочего процесса устанавливается Bun и выполняется _index.js, которому через переменную окружения OIDC_PACKAGES передается список целевых пакетов», — объясняет Айкидо.
«Скрипт использует разрешение id-token: write для запроса краткосрочного токена OIDC у GitHub, а затем использует этот токен для прямой аутентификации в доверенной конечной точке публикации npm и публикации бэкдор-версий всех пакетов из списка».
Эти скомпрометированные пакеты содержали вредоносный скрипт preinstall, который автоматически запускал сильно завуалированный вредоносный файл index.js, когда разработчики устанавливали пакеты.
"scripts": {
"preinstall": "node index.js"
}
По данным Aikido, полезная нагрузка index.js имела размер около 4,2 МБ и использовалась для кражи секретов GitHub Actions, учетных данных AWS, учетных данных Google Cloud, учетных данных субъекта-службы Azure, токенов HashiCorp Vault, токенов сервисных аккаунтов Kubernetes, токенов публикации npm и PyPI, ключей SSH, учетных данных Docker, ключей GPG и файлов .env.
По данным Aikido, компрометации подверглись 32 пакета и 96 версий пакетов, в том числе многочисленные клиентские библиотеки, поддерживаемые в пространстве имён `@redhat-cloud-services`.
Организациям, установившим какие-либо из затронутых версий, рекомендуется немедленно сменить все учётные данные, секретные данные и токены, используемые кодом на заражённом устройстве.
Судя по всему, Miasma — это новый вариант Shai-Hulud
За последние пару месяцев произошло множество атак на цепочки поставок с использованием вредоносной программы Shai-Hulud для кражи учётных данных и распространения на другие проекты.
Эти атаки затронули известные проекты, в том числе Bitwarden, SAP, Mistral, TanStack, OpenAI и GitHub.
В мае группа злоумышленников TeamPCP публично опубликовала исходный код своего вредоносного фреймворка Mini Shai-Hulud, сделав его доступным для других киберпреступников.
По словам исследователей, вредоносное ПО, использованное при взломе Red Hat, во многом похоже на Mini Shai-Hulud, но теперь в качестве комментариев в взломанных репозиториях GitHub используется строка «Miasma: The Spreading Blight».
Репозитории на GitHub, скомпрометированные Miasma
Хотя вредоносное ПО похоже на Mini Shai-Hulud от TeamPCP, неясно, была ли эта кампания организована этим злоумышленником или другим, который модифицировал исходный код вредоносного ПО.
По данным OX Security, вредоносное ПО сохраняет те же функции по краже учетных данных, что и Mini Shai-Hulud, но добавляет дополнительные уровни обфускации, многоэтапные механизмы доставки полезной нагрузки, а также расширенные функции кражи данных и сбора учетных данных.
На момент написания этой статьи 309 репозиториев GitHub были скомпрометированы вредоносным ПО Miasma.
Редактор: AndreyEx
