Злоумышленники встроили вредоносное ПО в 32 NPM-пакета Red Hat

Компании кибербезопасности Aikido и OX Security обнаружили более 30 пакетов npm из пространства имен Red Hat '@redhat-cloud-services', которые были скомпрометированы в результате атаки на цепочку поставок. В процессе неё хакеры распространили свежий вариант вредоносного ПО Shai-Hulud «Miasma», предназначенного для кражи учётных данных.

Бэкдоры с вредоносами предназначены для кражи учётных данных разработчиков, секретов облачных сервисов, ключей SSH, токенов CI/CD и иной конфиденциальной информации.

По данным Aikido, скомпрометированные пакеты еженедельно скачиваются приблизительно 117 000 раз.

Red Hat сообщила, что удалила эти пакеты, а компрометация затронула только внутренние инструменты разработки.

«Эти пакеты предназначены исключительно для внутренней разработки, и вредоносный исходник никогда не публиковался для использования клиентами через систему console.redhat.com. Хотя наше расследование продолжается, мы не выявили никакого влияния на среды клиентов или партнёров, а также на производственные системы Red Hat», — сообщила компания.

По данным Aikido, злоумышленники предположительно взломали аккаунт GitHub сотрудника Red Hat и использовали его для отправки вредоносных коммитов непосредственно в несколько репозиториев. Эти коммиты добавили рабочий процедура GitHub Actions и скрипт, который злоупотреблял механизмом публикации npm для выпуска пакетов с взломанными учётными записями.

«Когда запускается рабочий процедура, он устанавливает Bun и выполняет index.js, передавая ему список целевых пакетов через переменную окружения OIDCPACKAGES. Скрипт использует id-token: разрешение на запись, чтобы запросить кратковременный токен OIDC у GitHub, а затем применяет этот токен для прямой аутентификации с доверенной точкой публикации npm и публикации версий каждого пакета из списка с бэкдорами», — объяснили исследователи.

Взломанные пакеты содержали вредоносный сценарий предварительной установки, который автоматически запускал сильно обфусцированный вредоносный файл index.js при установке пакетов разработчиками.

"scripts": { "preinstall": "node index.js"
}

По данным Aikido, размер полезной нагрузки index.js составлял приблизительно 4,2 МБ, и она использовалась для кражи секретов GitHub Actions, учётных данных AWS, Google Cloud, субъекта службы Azure, токенов HashiCorp Vault, токенов учётной записи службы Kubernetes, токенов публикации npm и PyPI, ключей SSH, учётных данных Docker, ключей GPG и файлов .env.

В итоге взлома пострадали 32 пакета и 96 версий пакетов, в том числе многочисленные клиентские библиотеки, поддерживаемые в пространстве имен @redhat-cloud-services.

Организациям, установившим какие-либо из затронутых версий, рекомендуется немедленно сменить все учётные информация, секреты и токены, используемые кодом на заражённом устройстве.

За последние несколько месяцев было совершено много атак на цепочки поставок с использованием вредоносного ПО Shai-Hulud. Они затронули известные проекты, включая Bitwarden, SAP, Mistral, TanStack, OpenAI и GitHub.

В мае группа злоумышленников TeamPCP публично опубликовала исходный исходник вредоносной программы Mini Shai-Hulud, сделав её доступной для других злоумышленников.

Исследователи говорят, что вредоносное ПО, использованное при взломе Red Hat, имеет множество общего с Mini Shai-Hulud, но теперь использует строку "Miasma: The Spreading Blight" в качестве комментариев в скомпрометированных репозиториях GitHub. Хотя вредоносное ПО напоминает Mini Shai-Hulud от TeamPCP, неясно, была ли эта кампания проведена этой группой злоумышленников или другой, которая модифицировала утёкший исходный код вредоносного ПО.

OX Security заявляет, что вредоносная приложение сохраняет ту же функциональность по краже учётных данных, что и Mini Shai-Hulud, но добавляет дополнительные уровни обфускации, многоступенчатые механизмы доставки полезной нагрузки, а равным образом улучшенные функции кражи данных и сбора учетных данных. Вредоносной программой были скомпрометированы 309 репозиториев GitHub.

Ранее в GitHub сообщили, что хакеры, взломавшие 3800 внутренних репозиториев платформы, получили доступ к ним через вредоносную версию расширения Nx Console для VS Code. Она была скомпрометирована за неделю до этого в результате атаки на цепочку поставок npm от TanStack.