Dhjetëra paketa Red Hat me backdoor në kanalin zyrtar NPM
Një grup hakerësh ka marrë kontrollin e llogarive zyrtare të Red Hat në npm dhe ka shpërndarë një “worm” të ndotur që vlen si backdoor për më shumë se 30 paketa. Sipas studiuesve të kompanisë së sigurisë Aikido, sulmi filloi të hënë të dielën dhe ishte ende aktiv kur u publikua ky artikull. Hakerët kanë përdorur kanalin @redhat‑cloud‑services, i cili është i besuar nga zhvilluesit për paketat zyrtare të Red Hat, për të ngarkuar kod të fshehur që ekzekutohet gjatë procesit të instalimit me npm, para se paketa të përdoret në mjedisin prodhues.
Analiza e kompanisë Socket zbuloi se ngarkesa e fshehur grumbullon kredenciale të ndjeshme – sekrete të GitHub Actions, token‑a npm, çelësa për Kubernetes, Vault dhe shërbime të tjera cloud – dhe i dërgon në formë të enkriptuar përmes një kërkese web. Nëse serveri i infektuar ka akses në një depo GitHub të komprometuara, të dhënat e enkriptuara publikohen atje. Kjo metodë lejon worm‑i, i njohur si Shai‑Hulud, të ripublikohet në llogari të treta, duke përhapur infektimin në pajisje të tjera që kanë akses në kanalin e ndotur.
Red Hat reagoi menjëherë, duke hequr paketat e infektuara dhe duke dërguar një email zyrtar: “Paketat janë të kufizuara vetëm për zhvillim të brendshëm, dhe kodi i keqfilluar kurrë nuk u publikua për konsumatorët nëpërmjet sistemit console.redhat.com. Ndërsa hetimet vazhdojnë, nuk kemi identifikuar ndonjë ndikim në mjediset e klientëve, partnerëve apo sistemet prodhuese të Red Hat.” Sipas rekomandimeve të ekspertëve, çdo sistem që ka instaluar ndonjë nga versionet e prekur të @redhat‑cloud‑services duhet të konsiderohet komprometuar dhe të kontrollohet menjëherë, veçanërisht në mjediset CI/CD ku kredencialet mund të jenë tashmë të ekspozuara.
Këto ngjarje vijnë në një periudhë ku sulmet në zinxhirin e furnizimit po rriten, shembull i sulmit të mëparshëm ndaj Checkmarx, i cili nuk arriti të eliminojë plotësisht kërcënimin dhe u godit përsëri. Siç theu Socket, “Organizatat duhet të trajtojnë çdo sistem që instaloi një nga paketat e prekur si potencialisht të komprometuar”, duke theksuar se rreziku vjen gjatë instalimit ose ekzekutimit të CI, jo gjatë përdorimit në kohë reale. Për të parandaluar përhapjen e mëtejshme, kompanitë duhet të shfrytëzojnë listat e paketave të prekur dhe indikatorët e komprometimit që ofrojnë Aikido dhe Socket.