Dhjetëra paketa Red Hat me backdoor në kanalin zyrtar NPM
Një grup sulmues ka marrë kontrollin e llogarive zyrtare NPM të Red Hat dhe ka shpërndarë një gjurë të dëmshme që infektuon makinat nga makinë në makinë, duke vjedhur kredenciale të ndjeshme për të nxjerrë më shumë të dhëna konfidenciale, sipas studiuesve të kompanive të sigurisë Aikido dhe Socket. Sulmi, i cili filloi të hidhë në hënë dhe ishte ende aktiv kur u publikua ky artikull, ka shfrytëzuar kanalin @redhat-cloud-services në depozitën npm – një kanal i besuar nga zhvilluesit për paketat zyrtare të Red Hat – dhe ka prekur mbi 30 paketa.
Paketat e infektuara ekzekutojnë një kod të fshehur gjatë procesit të instalimit npm, përpara se kodi i aplikacionit të importohet ose të përdoret në mjedisin prodhues. Analiza e malware-it tregon se ai grumbullon kredenciale të tilla si sekrete të GitHub Actions, token-e npm, informacione për Kubernetes dhe Vault, si dhe kredenciale për shërbime të tjera cloud. Gjurja, e njohur me emrin Shai‑Hulud, i dërgon të dhënat e kriptuara përmes një kërkese web dhe, nëse ka akses, i publikon në një depo GitHub të komprometuara. Ajo përhapet më tej duke ripublikuar paketat e infektuara në llogari të treta ku pajisja e prekur ka leje.
Kërkimi tregon se sulmi ka shfrytëzuar CI/CD‑në e Red Hat, veçanërisht GitHub Actions OIDC, duke sugjeruar se pipeline‑i i CI/CD-së së kompanisë është komprometuar ndoshta përmes një sulmi të mëparshëm në një makinë pune. Shai‑Hulud është përdorur më parë nga grupi TeamPCP, i cili organizoi një konkurs me shpërblim prej 1 000 dollarësh për sulmin më të madh në zinxhirin e furnizimit, dhe tani është në duar të grupeve të tjera kërcënuese. Red Hat ka reaguar duke hequr paketat e dëmshme dhe ka deklaruar se “paketat janë të kufizuara në zhvillimin e brendshëm dhe kodi i keq nuk është publikuar për konsumatorët përmes sistemit console.redhat.com”. Sipas e‑mailit të kompanisë, deri tani nuk janë zbuluar ndikime në mjediset e klientëve, partnerëve apo sistemet prodhuese të Red Hat, por kërkohet që çdo përdorues i paketave të prekur të kontrollojë menjëherë sistemet dhe kredencialet e tyre.
Për shkak të natyrës së sulmit, çdo sistem që ka instaluar ndonjë version të paketave @redhat-cloud-services të prekur duhet konsideruar i komprometuar. Ekspertët këshillojnë që punonjësit të ndalojnë çfarëdo veprimi aktual dhe të kryejnë një hetim të thellë të punës, CI/CD‑s dhe kredencialeve të tyre cloud, pasi infektimi mund të ketë ndodhur në orët e fundit.
