Компании кибербезопасности Aikido и OX Security обнаружили более 30 пакетов npm из пространства имен Red Hat ‘@redhat-cloud-services’, которые были скомпрометированы в результате атаки на цепочку поставок. В ходе неё хакеры распространили новый вариант вредоносного ПО Shai-Hulud «Miasma», предназначенного для кражи учётных данных.
Бэкдоры с вредоносами предназначены для кражи учётных данных разработчиков, секретов облачных сервисов, ключей SSH, токенов CI/CD и другой конфиденциальной информации.
По данным Aikido, скомпрометированные пакеты еженедельно скачиваются примерно 117 000 раз.
Red Hat сообщила, что удалила эти пакеты, а компрометация затронула только внутренние инструменты разработки.
«Эти пакеты предназначены исключительно для внутренней разработки, и вредоносный код никогда не публиковался для использования клиентами через систему console.redhat.com. Хотя наше расследование продолжается, мы не выявили никакого влияния на среды клиентов или партнёров, а также на производственные системы Red Hat», — сообщила компания.
По данным Aikido, злоумышленники предположительно взломали аккаунт GitHub сотрудника Red Hat и использовали его для отправки вредоносных коммитов непосредственно в несколько репозиториев. Эти коммиты добавили рабочий процесс GitHub Actions и скрипт, который злоупотреблял механизмом публикации npm для выпуска пакетов с взломанными учётными записями.
«Когда запускается рабочий процесс, он устанавливает Bun и выполняет index.js, передавая ему список целевых пакетов через переменную окружения OIDCPACKAGES. Скрипт использует id-token: разрешение на запись, чтобы запросить кратковременный токен OIDC у GitHub, а затем применяет этот токен для прямой аутентификации с доверенной точкой публикации npm и публикации версий каждого пакета из списка с бэкдорами», — объяснили исследователи.
Взломанные пакеты содержали вредоносный скрипт предварительной установки, который автоматически запускал сильно обфусцированный вредоносный файл index.js при установке пакетов разработчиками.
"scripts": { "preinstall": "node index.js"}
По данным Aikido, размер полезной нагрузки index.js составлял приблизительно 4,2 МБ, и она использовалась для кражи секретов GitHub Actions, учётных данных AWS, Google Cloud, субъекта службы Azure, токенов HashiCorp Vault, токенов учётной записи службы Kubernetes, токенов публикации npm и PyPI, ключей SSH, учётных данных Docker, ключей GPG и файлов .env.
В результате взлома пострадали 32 пакета и 96 версий пакетов, включая многочисленные клиентские библиотеки, поддерживаемые в пространстве имен @redhat-cloud-services.
Организациям, установившим какие-либо из затронутых версий, рекомендуется немедленно сменить все учётные данные, секреты и токены, используемые кодом на заражённом устройстве.
За последние несколько месяцев было совершено множество атак на цепочки поставок с использованием вредоносного ПО Shai-Hulud. Они затронули известные проекты, включая Bitwarden, SAP, Mistral, TanStack, OpenAI и GitHub.
В мае группа злоумышленников TeamPCP публично опубликовала исходный код вредоносной программы Mini Shai-Hulud, сделав её доступной для других злоумышленников.
Исследователи говорят, что вредоносное ПО, использованное при взломе Red Hat, имеет много общего с Mini Shai-Hulud, но теперь использует строку «Miasma: The Spreading Blight» в качестве комментариев в скомпрометированных репозиториях GitHub. Хотя вредоносное ПО напоминает Mini Shai-Hulud от TeamPCP, неясно, была ли эта кампания проведена этой группой злоумышленников или другой, которая модифицировала утёкший исходный код вредоносного ПО.
OX Security заявляет, что вредоносная программа сохраняет ту же функциональность по краже учётных данных, что и Mini Shai-Hulud, но добавляет дополнительные уровни обфускации, многоступенчатые механизмы доставки полезной нагрузки, а также улучшенные функции кражи данных и сбора учетных данных. Вредоносной программой были скомпрометированы 309 репозиториев GitHub.
Ранее в GitHub сообщили, что хакеры, взломавшие 3800 внутренних репозиториев платформы, получили доступ к ним через вредоносную версию расширения Nx Console для VS Code. Она была скомпрометирована за неделю до этого в результате атаки на цепочку поставок npm от TanStack.
ссылка на оригинал статьи https://habr.com/ru/articles/1042808/