ProHoster > Blog > internet nuus > Aanvallers het wanware in 32 Red Hat NPM-pakkette ingebed.

Aanvallers het wanware in 32 Red Hat NPM-pakkette ingebed.

Deur die GitHub Actions-vrystellingsproses in Red Hat se RedHatInsights-bewaarplekke te kompromitteer, kon aanvallers 64 kwaadwillige weergawes van 32 NPM-pakkette vir die Red Hat Cloud Services-platform na die NPM-gids publiseer. Twee kwaadwillige weergawes van elke gekompromitteerde NPM-pakket is vrygestel, elk met kode wat 'n nuwe variant van die mini-shai-hulud-wurm geaktiveer het, wat in die huidige omgewing na tokens en geloofsbriewe soek.

Die wurm is in die index.js-lêer geplaas en geaktiveer via 'n voorinstallasie-hanteerder wat geroep word wanneer 'n besmette pakket geïnstalleer word. Sodra dit geaktiveer is, het die wurm die stelsel deursoek vir tokens na NPM (~/.npmrc), PyPI, CircleCI, AWS, GCP, Docker, Azure, HashiCorp, en KubernetesK8s, sowel as SSH-privaatsleutels. Die data wat dit gevind het, is na die aanvallers gestuur. As 'n NPM-token gevind is, het die wurm outomaties nuwe kwaadwillige vrystellings vir pakkette wat in die huidige omgewing ontwikkel word, gepubliseer, wat die afhanklikheidsboom besmet het.

Toegang tot GitHub Actions is verkry deur die rekening van 'n Red Hat-werknemer te kompromitteer, wat die aanvallers toegelaat het om commits direk na die javascript-clients, frontend-components en platform-frontend-ai-toolkit-bewaarplekke te stoot sonder om deur die hersieningsproses te gaan. Hierdie commits het 'n ci.yaml-lêer in die deurlopende integrasiestelsel ingevoeg, wat, wanneer 'n bou uitgevoer is, die _index.js-skrip met behulp van die bun-platform uitgevoer het. Die skrip het die "id-token: write"-toestemming gebruik om 'n OIDC (OpenID Connect)-token van GitHub aan te vra, wat toe gebruik is vir verifikasie met NPM via die "trusted publishing"-meganisme.

NPM-pakkette wat kwaadwillige kode bevat:

  • @redhat-wolkdienste/chrome (2.3.1, 2.3.2)
  • @redhat-wolk-dienste/nakomingskliënt (4.0.3, 4.0.4)
  • @redhat-wolk-dienste/konfigurasiebestuurder-kliënt (5.0.4, 5.0.5)
  • @redhat-wolk-dienste/aansprake-kliënt (4.0.11, 4.0.12)
  • @redhat-wolk-dienste/eslint-konfigurasie-redhat-wolk-dienste (3.2.1, 3.2.2)
  • @redhat-wolkdienste/voorkantkomponente (7.7.2, 7.7.3)
  • @redhat-wolk-dienste/voorkant-komponente-adviseur-komponente (3.8.2)
  • @redhat-wolk-dienste/voorkant-komponente-konfigurasie (6.11.3, 6.11.4)
  • @redhat-wolk-dienste/voorkant-komponente-konfigurasie-nutsdienste (4.11.2, 4.11.3)
  • @redhat-wolk-dienste/voorkant-komponente-kennisgewings (6.9.2, 6.9.3)
  • @redhat-wolk-dienste/voorkant-komponente-remedierings (4.9.2, 4.9.3)
  • @redhat-wolk-dienste/voorkant-komponente-toetsing (1.2.1, 1.2.2)
  • @redhat-wolk-dienste/voorkant-komponente-vertalings (4.4.1, 4.4.2)
  • @redhat-wolk-dienste/voorkant-komponente-nutsdienste (7.4.1, 7.4.2)
  • @redhat-wolkdienste/hcc-feo-mcp (0.3.1, 0.3.2)
  • @redhat-wolkdienste/hcc-kessel-mcp (0.3.1, 0.3.2)
  • @redhat-wolkdienste/hcc-pf-mcp (0.6.1, 0.6.2)
  • @redhat-wolk-dienste/gasheer-voorraad-kliënt (5.0.3, 5.0.4)
  • @redhat-wolk-dienste/insigte-kliënt (4.0.4, 4.0.5)
  • @redhat-wolkdienste/integrasies-kliënt (6.0.4, 6.0.5)
  • @redhat-cloud-services/javascript-clients-shared (2.0.8, 2.0.9)
  • @redhat-wolk-dienste/kennisgewings-kliënt (6.1.4, 6.1.5)
  • @redhat-wolk-dienste/pleister-kliënt (4.0.4, 4.0.5)
  • @redhat-wolk-dienste/vinnigebegin-kliënt (4.0.11, 4.0.12)
  • @redhat-wolk-dienste/rbac-kliënt (9.0.3, 9.0.4)
  • @redhat-wolk-dienste/remedierings-kliënt (4.0.4, 4.0.5)
  • @redhat-wolk-dienste/reël-komponente (4.7.2, 4.7.3)
  • @redhat-wolk-dienste/bronne-kliënt (3.0.10, 3.0.11)
  • @redhat-wolk-dienste/topologiese-voorraad-kliënt (3.0.10, 3.0.11)
  • @redhat-wolk-dienste/tsc-transform-invoere (1.2.2)
  • @redhat-wolkdienste/tipes (3.6.1, 3.6.2, 3.6.4)
  • @redhat-wolk-dienste/kwesbaarheidskliënt (2.1.8, 2.1.9)

Bron: opennet.ru

Koop betroubare hosting vir werwe met DDoS-beskerming, VPS VDS-bedieners 🔥 Koop betroubare webwerfhosting met DDoS-beskerming, VPS VDS-bedieners | ProHoster