



Злоумышленники встроили вредоносное ПО в 32 NPM-пакета Red Hat
Компании кибербезопасности Aikido и OX Security обнаружили более 30 пакетов npm из пространства имен Red Hat '@redhat-cloud-services', которые были скомпрометированы в результате атаки на цепочку поставок. В ходе неё хакеры распространили новый вариант вредоносного ПО Shai-Hulud «Miasma», предназначенного для кражи учётных данных.
Бэкдоры с вредоносами предназначены для кражи учётных данных разработчиков, секретов облачных сервисов, ключей SSH, токенов CI/CD и другой конфиденциальной информации.
По данным Aikido, скомпрометированные пакеты еженедельно скачиваются примерно 117 000 раз.
Red Hat сообщила, что удалила эти пакеты, а компрометация затронула только внутренние инструменты разработки.
«Эти пакеты предназначены исключительно для внутренней разработки, и вредоносный код никогда не публиковался для использования клиентами через систему console.redhat.com. Хотя наше расследование продолжается, мы не выявили никакого влияния на среды клиентов или партнёров, а также на производственные системы Red Hat», — сообщила компания.
По данным Aikido, злоумышленники предположительно взломали аккаунт GitHub сотрудника Red Hat и использовали его для отправки вредоносных коммитов непосредственно в несколько репозиториев. Эти коммиты добавили рабочий процесс GitHub Actions и скрипт, который злоупотреблял механизмом публикации npm для выпуска пакетов с взломанными учётными записями.
«Когда запускается рабочий процесс, он устанавливает Bun и выполняет index.js, передавая ему список целевых пакетов через переменную окружения OIDCPACKAGES. Скрипт использует id-token: разрешение на запись, чтобы запросить кратковременный токен OIDC у GitHub, а затем применяет этот токен для прямой аутентификации с доверенной точкой публикации npm и публикации
Читать на habr.com